picasso

Jeśli używasz suwaka i zapisujesz zmiany w tym dialogu, automatycznie są zapisywane do rejestru trzy wartości: ConsentPromptBehaviorAdmin, EnableLUA, PromptOnSecureDesktop. Pusty klucz powinien być pokazany jako pusty również w awaryjnym, sprawdziłam to. Dlatego też te widoczne w awaryjnym wartości powinny być pochodną dialogu UAC (dodajesz je za pomocą dialogu w awaryjnym). W każdym razie, to już sobie wyjaśniłam. Problemem tu jest, że jakiś mechanizm zeruje wszystkie zmiany w kluczu podczas restartu.

Nagraj log z Process Monitor podczas startu Windows. Tzn. uruchom program, przekreśl lupkę, Options > Enable Boot Logging, restart systemu, otwierasz Process Monitor i poprosi o zapis loga który nagrał. PS. Jakoś mnie zaćmiło poprzednio z tym "tymczasowym środowiskiem". Ty raczej widzisz te kilka wartości "uzupełnionych" w trybie awaryjnym, ponieważ używasz dialogu ustawień UAC by sprawdzić czy suwak się utrzyma, prawda? Użycie tego dialogu automatycznie zapisuje te trzy wartości do rejestru. I te trzy uzupełnione dialogiem wartości powinny przetrwać podczas uruchomienia w normalnym. U Ciebie najwyraźniej "coś" zeruje klucz, czy pełny (z FIX.REG) czy częściowy (z dialogu ustawień UAC), wszystko jest usuwane. Nie. Import się wykonuje poprawnie, więc FRST pokaże przed restartem komputera, że klucz jest OK. Po restarcie zaś log znów przedstawi pusty klucz.

Nic z tego nie wynika. W dostarczonym logu nagrany pomyślny import pliku REG i zapisanie wartości, żadnych błędów, żadnych rekordów odnośnie dalszych losów klucza. Pytanie: kiedy konkretnie te ustawienia się samoczynnie zmieniają, zaraz po zaaplikowaniu zmian (użycie dialogu ustawień UAC lub import FIX.REG), czy może po restarcie systemu lub dłuższym jego działaniu? Jeśli suwak UAC zmienia się dopiero po pewnym czasie, to nagraj jeszcze jeden log z Process Monitor zrobiony z czasu między naprawą a wystąpieniem usterki: przywrócenie części lub wszystkich ustawień (użycie dialogu ustawień UAC lub FIX.REG) > zostawiasz otwarty program aż do momentu gdy suwak się przestawi > kończysz nagrywanie i zapisujesz log.

Temat przenoszę do działu malware. To wpis infekcji (m.in. może startować via Harmonogram zadań). Poproszę o raporty z FRST.

Brak zmian w UAC. Import wykonany, klucz odczytywany w FRST jako pusty. Nagraj log co się dzieje podczas operacji na tym kluczu. 1. Przygotuj plik FIX.REG o zawartości: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments] "ScanWithAntiVirus"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum] "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"=dword:00000001 "{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}"=dword:40000021 "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"=dword:00000020 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=dword:00000005 "ConsentPromptBehaviorUser"=dword:00000003 "EnableInstallerDetection"=dword:00000001 "EnableLUA"=dword:00000001 "EnableSecureUIAPaths"=dword:00000001 "EnableUIADesktopToggle"=dword:00000000 "EnableVirtualization"=dword:00000001 "PromptOnSecureDesktop"=dword:00000001 "ValidateAdminCodeSignatures"=dword:00000000 "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "scforceoption"=dword:00000000 "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "FilterAdministratorToken"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats] "CF_TEXT"=dword:00000001 "CF_BITMAP"=dword:00000002 "CF_OEMTEXT"=dword:00000007 "CF_DIB"=dword:00000008 "CF_PALETTE"=dword:00000009 "CF_UNICODETEXT"=dword:0000000d "CF_DIBV5"=dword:00000011 2. Uruchom Process Monitor. Zaimportuj plik FIX.REG. Zakończ nagrywanie w Process Monitor klikając w ikonę lupki na pasku narzędzi (ma się przekreślić). Zapisz log w formacie *.PML. Log spakuj do ZIP i shostuj gdzieś podając link.

Na tym drugim obrazu nie podświetliłeś tego samego klucza (jest zaznaczony wyższy), niemniej w Twoim rejestrze one rzeczywiście są puste. Z tego wynika że w trybie awaryjnym jest tymczasowo ładowane inne środowisko. Wszystkie podane powyżej działania są nadal aktualne.

Czyli wszystko w porządku. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Prosiłam o eksport rejestru, by sprawdzić jakie są dane wartości (nie ich nazwy, do czego pijesz, tylko dane wartości). Ale skoro mówisz, że tylko Free Uninstaller zwraca ten błąd, to problemem prawdopodobnie jest ten program. To jest archaizm z 2007 roku, więc całkiem możliwe że nie działa poprawnie.

Mam pytanie, bo ten punkt wprowadził zamieszanie (rzekoma widoczność zawartości klucza): Co ten tekst miał oznaczać, tzn. na co patrzyłeś w rejestrze? Czyżby na same klucze a nie co zawierają? Klucze są od początku, tylko są puste. Chodzi cały czas o import wartości w tych kluczach. Groszexxx już prawidłowo to wytypował na podstawie raportu FRST i zadał operację importu do rejestru, tylko właśnie fakt samego importu nie został tu objaśniony. Skwitowałeś sprawę słowami "Nie poskutkowało". Zero informacji co się działo podczas importu pliku, czy wystąpił jakiś błąd, na czym polegało "nie zapisywanie zmian". Druga sprawa, są inne niekorzystne zmiany względem pierwszych raportów (nie było wcześniej tych usterek): - Widać nieukrytą usługę Microsoftu i korespondujący błąd w Dzienniku. Usługa ta jest uszkodzona (zdewastowany podklucz Parameters): S2 LanmanWorkstation; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 LanmanWorkstation; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) Dziennik System: ============= Error: (04/24/2016 04:07:03 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Stacja robocza zakończyła działanie; wystąpił następujący błąd: %%2 - Usługa Winmgmt wygląda inaczej niż wcześniej. Określone dane (Description, DisplayName i Group) są niepoprawne, wyglądają jak zaimportowane ze starego systemu XP. I ta niezgodność danych pojawiła się w trakcie napraw w temacie - Groszexxx pobierał na początku dane z rejestru i usługa wyglądała OK. Wnioski się nasuwają takie, że ten "Windows Repair (All In One)" wykonał niepoprawny "reset WMI", bo nie widzę tu innej możliwości skąd zmiana danych... Dla pewności cały klucz usunę i zaimportuję "na czysto". - Zawartość klucza SafeBoot przestała być domyślna. Zostały dodane klucze, które nie występują w domyślnym układzie. I też się zdaje, że to robota "Windows Repair (All In One)". Ten wątek omijam na razie. Jeśli chodzi o uszkodzone WMI, sprawa nadal będzie wymagać analizy (nie przejrzałam wszystkich poprzednich materiałów). Kolejne podejście z importem rejestru, w szerszym zakresie: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\AVG] [-HKEY_CURRENT_USER\Software\Chromium] [-HKEY_CURRENT_USER\Software\KasperskyLab] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PandaAgent] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeBridge] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BLEServicesCtrl] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BTMTrayAgent] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments] "ScanWithAntiVirus"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum] "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"=dword:00000001 "{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}"=dword:40000021 "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"=dword:00000020 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=dword:00000005 "ConsentPromptBehaviorUser"=dword:00000003 "EnableInstallerDetection"=dword:00000001 "EnableLUA"=dword:00000001 "EnableSecureUIAPaths"=dword:00000001 "EnableUIADesktopToggle"=dword:00000000 "EnableVirtualization"=dword:00000001 "PromptOnSecureDesktop"=dword:00000001 "ValidateAdminCodeSignatures"=dword:00000000 "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "scforceoption"=dword:00000000 "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "FilterAdministratorToken"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats] "CF_TEXT"=dword:00000001 "CF_BITMAP"=dword:00000002 "CF_OEMTEXT"=dword:00000007 "CF_DIB"=dword:00000008 "CF_PALETTE"=dword:00000009 "CF_UNICODETEXT"=dword:0000000d "CF_DIBV5"=dword:00000011 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MAIN] "Local Page"="C:\\Windows\\SysWOW64\\blank.htm" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\8052240E.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cpuz136] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cpuz138] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\IntcAzAudAddService] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,6b,00,73,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceDllUnloadOnStop"=dword:00000001 "EnablePlainTextPassword"=dword:00000000 "EnableSecuritySignature"=dword:00000001 "RequireSecuritySignature"=dword:00000000 "OtherDomains"=hex(7):00,00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [-HKEY_USERS\S-1-5-18\SOFTWARE\Policies\Microsoft\Internet Explorer] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG na Pulpicie Plik ten będzie importowany za pomocą FRST a nie ręcznie. 2. Otwórz Notatnik i wklej w nim: Reg: reg import C:\Users\Asus\Desktop\fix.reg CMD: sc sdset winmgmt D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD) CMD: type C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\42h046m9.default-1457814586723\user.js Reboot: Plik zapisz pod nazwą fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie plik fixlog.txt. 3. Wyczyść błędy w Dzienniku zdarzeń. Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń gałąź Dzienniki systemu Windows i z prawokliku Wyczyść Aplikacja oraz System. Rozwiń gałąź Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawoliku wyczyść Operational. Po czyszczeniu zresetuj system, by zostały złapane nowe błędy. 4. Zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym polem Addition i tylko plik Addition dostarcz. Dołącz też fixlog.txt.

Potwierdzam poprzednią diagnozę. Naruszone jest tylko wystąpienie w wersji z bazowej edycji "Wersja 1511", nowsze instancje zaaplikowane z Windows Update są OK. Podmiana uszkodzonego pliku: 1. Pobierz 64-bitowy plik zgodny z Windows 10 Wersja 1511 x64: KLIK. Na pendrive H:\ umieść ten plik oraz zrobiony w Notatniku plik fixlist.txt o następującej zawartości: CMD: copy /y H:\winload.exe C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_10.0.10586.0_none_e7ac528b16fe1379\winload.exe CMD: copy /y H:\winload.exe C:\Windows\WinSxS\amd64_microsoft-windows-b..ment-windows-minwin_31bf3856ad364e35_10.0.10586.0_none_dc713eb3a655c1c1\winload.exe 2. Uruchom ponownie FRST. Wybierz opcję Napraw (Fix). Na pendrive powstanie plik fixlog.txt. Przedstaw go.

Dosłownie ten błąd oznacza, że wartości InstallDate (data instalacji) mają nieprawidłowe dane wartości. Poproszę o eksport kluczy Uninstall: Start > Uruchom > regedit Z prawokliku wyeksportuj do pliku REG następujące klucze: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall Pliki REG shostuj gdzieś i podaj do nich link.

O ile problem nadal aktualny, dostarcz raport z FRST zrobiony z poziomu RE: KLIK. CBS.log bezużyteczny. W środowisku zewnętrznym w ogóle nie jest nagrywana akcja SFC fo CBS.log. Wątek punktowany w tutorialu: KLIK.

Log ntbtlog.txt nie daje żadnych wskazówek. W wykazie plików rejestru jest znak, że jedyny plik który na pewno podlegał modyfikacji, to plik SYSTEM (ma świeżą datę, pozostałe starą), ale to może być wynik Twoich późniejszych manipulacji z montowaniem. Spróbuj więc podstawić kopie SOFTWARE + SYSTEM z Repair i zobaczymy co z tego wyniknie. Tylko jak mówiłam, to "czysta" kopia, nie uwzględnia zainstalowanych później programów i mogą być duże rozbieżności. 1. Przygotuj skrypt do FRST. Do Notatnika wklej: CMD: ren C:\Windows\system32\config\software software.old CMD: ren C:\Windows\system32\config\system system.old CMD: copy /y C:\Windows\Repair\software C:\Windows\system32\config\software CMD: copy /y C:\Windows\Repair\system C:\Windows\system32\config\system Zapisz jako fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Spróbuj wejść do systemu. Jeśli się uda, zrób logi FRST spod Windows: KLIK.

Logi z OTL ponownie usuwam (Rucek wcześniej też to robił). Logi z tego archaizmu nie są tu już w ogóle brane pod uwagę. FRST przebił możliwości OTL już dawno temu. Niestety ten błąd który opisujesz spowodował, że plik FRST Addition jest urwany, brak też raportu FRST Shortcut. System jest zainfekowany adware. Dodatkowo, jest tu zainstalowany program oszust YAC (Yet Another Cleaner). Do wykonania następujące działania: 1. Odinstaluj: IncrementEdit, McAfee Security Scan Plus, PriceFountain, qksee, WarThunder, WinZip, YAC(Yet Another Cleaner!). WarThunder i WinZip to podróbki, a nie te programy które nasuwają się na myśl. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {674829ea-f837-40f8-b8e1-613b1b2d47c8}Gw64; C:\Windows\System32\drivers\{674829ea-f837-40f8-b8e1-613b1b2d47c8}Gw64.sys [48784 2015-03-25] (StdLib) S2 gprotect; C:\ProgramData\Google\update\GoogleUpdate.exe [315008 2016-01-25] () S2 WMModules; C:\ProgramData\Google\update\GoogleUpdate.exe [315008 2016-01-25] () S2 browserServer_2015.11.10.10.26.01; C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe [X] S2 WSModules; "C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe" [X] S3 GPU-Z; \??\C:\Users\Krzak\AppData\Local\Temp\GPU-Z.sys [X] S1 wpnfd_1_10_0_6; system32\drivers\wpnfd_1_10_0_6.sys [X] S1 {3788502c-c1e8-40a8-8914-655def81ee5b}Gw64; system32\drivers\{3788502c-c1e8-40a8-8914-655def81ee5b}Gw64.sys [X] S1 {4dab53d4-80cb-41db-8aeb-6aff55ca8f33}Gw64; system32\drivers\{4dab53d4-80cb-41db-8aeb-6aff55ca8f33}Gw64.sys [X] Task: {0D5FC046-4E38-49B1-8C17-35912E96233B} - System32\Tasks\{B2DD8CE1-636D-4F08-810F-F3BE311117D9} => pcalua.exe -a C:\Users\Krzak\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt Task: {2D0E83F3-49EB-43C1-B23E-C1B4B1A7A588} - System32\Tasks\SPBIW_UpdateTask_Time_3338303036373537352d5a556c6c4a5a575750414134 => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {303DBAEF-E691-4E68-A04D-6D53F3924666} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {34DE0E31-F242-4602-B6BB-1DA785811AE6} - \622cfd39-1cb7-4800-b843-2be30f6b6e15-5 -> Brak pliku Task: {51B00320-1096-47B4-87CE-1C080D33215F} - System32\Tasks\ghokswaBrowserUpdateCore => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe Task: {531E5BE2-BC90-49AA-AA6C-BFBDE574E22E} - System32\Tasks\{16AE44DC-E1AD-4F73-8191-860737DCD728} => pcalua.exe -a C:\Users\Krzak\Downloads\JavaRa-2.6\JavaRa-2.6\JavaRa.exe -d C:\Users\Krzak\Downloads\JavaRa-2.6\JavaRa-2.6 Task: {5918A0A1-881D-4B51-A000-500C7A898BF3} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {71C80CB3-AB9A-4E8E-A3DE-B9AEFDE132BB} - \Microsoft\Windows Defender\MpIdleTask -> Brak pliku Task: {7396B3DC-8C87-4788-9AC7-C808DCCCEA73} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {745A0712-F127-45DD-B848-B2239E80D292} - System32\Tasks\{EEDB02A6-678B-4AF9-8117-9CED29F95F74} => pcalua.exe -a "C:\Users\Krzak\AppData\Local\Temp\Temp1_CardReader_Alcor_1.0.12.50_W7x86W7x64_A.zip\Card Reader_Alcor_1.0.12.50_Win7x86x64_Aspire 5740\Setup.exe" Task: {8AD80712-5089-4EB0-A6FB-A09F60A7B717} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe [2014-09-20] (Megaify Software Co., Ltd.) Task: {AEE2BF61-D805-4AE3-9515-687A00015858} - \622cfd39-1cb7-4800-b843-2be30f6b6e15-1-7 -> Brak pliku Task: {C23181F2-97D0-4F39-9FB1-C1A77496A878} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {C8D08D06-6B0F-46F3-9828-61FA5E15015A} - \CCleanerSkipUAC -> Brak pliku Task: {E37E0A73-7948-4024-B3A4-1EEDFC860291} - \ghokswaBrowserUpdateUA -> Brak pliku Task: {E4E0659A-8FB3-4FB3-87FD-0C422FEF6ADF} - \622cfd39-1cb7-4800-b843-2be30f6b6e15-11 -> Brak pliku Task: {EEEF62B8-71D2-408D-AEC6-96E9F99EE9E9} - \622cfd39-1cb7-4800-b843-2be30f6b6e15-5_user -> Brak pliku Task: {F7875546-E9FC-44D9-BC5D-25849D272009} - System32\Tasks\ghokswaCheckTask => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe Task: {FCB0C503-F75F-4BE4-9539-2BEA084938FB} - System32\Tasks\{A878E990-6CEC-4451-9D4A-AA5B441D3AFD} => pcalua.exe -a C:\Users\Krzak\AppData\Local\Temp\Temp1_AHCI_Intel_9.6.0.1014_W7x86W7x64_A.zip Task: C:\Windows\Tasks\622cfd39-1cb7-4800-b843-2be30f6b6e15-1-7.job => C:\Program Files (x86)\SensePlus\622cfd39-1cb7-4800-b843-2be30f6b6e15-1-7.exe Task: C:\Windows\Tasks\622cfd39-1cb7-4800-b843-2be30f6b6e15-11.job => C:\Program Files (x86)\SensePlus\622cfd39-1cb7-4800-b843-2be30f6b6e15-11.exe Task: C:\Windows\Tasks\622cfd39-1cb7-4800-b843-2be30f6b6e15-5.job => C:\Program Files (x86)\SensePlus\622cfd39-1cb7-4800-b843-2be30f6b6e15-5.exe Task: C:\Windows\Tasks\622cfd39-1cb7-4800-b843-2be30f6b6e15-5_user.job => C:\Program Files (x86)\SensePlus\622cfd39-1cb7-4800-b843-2be30f6b6e15-5.exe Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe Task: C:\Windows\Tasks\Chrome Cleanup Tool logs upload retry.job => C:\Users\Krzak\AppData\Local\Temp\77B3.exe Task: C:\Windows\Tasks\Chrome Cleanup Tool post reboot run.job => C:\Users\Krzak\AppData\Local\Temp\77B3.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Krzak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX ShortcutWithArgument: C:\Users\Krzak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com?type=hp&ts=1450296146&from=mych123&uid=hitachixhts545032b9a300_091121pbnc06qykjtk4rx&z=666af60b42ee294b45ba46bgfzaw7e7oat9qegazet HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com?type=hp&ts=1450296146&from=mych123&uid=hitachixhts545032b9a300_091121pbnc06qykjtk4rx&z=666af60b42ee294b45ba46bgfzaw7e7oat9qegazet HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450296146&from=mych123&uid=hitachixhts545032b9a300_091121pbnc06qykjtk4rx&z=666af60b42ee294b45ba46bgfzaw7e7oat9qegazet HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450296146&from=mych123&uid=hitachixhts545032b9a300_091121pbnc06qykjtk4rx&z=666af60b42ee294b45ba46bgfzaw7e7oat9qegazet HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} HKU\S-1-5-21-2485468350-622519217-2592332594-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1423312779&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} HKU\S-1-5-21-2485468350-622519217-2592332594-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com?type=hp&ts=1450296146&from=mych123&uid=hitachixhts545032b9a300_091121pbnc06qykjtk4rx&z=666af60b42ee294b45ba46bgfzaw7e7oat9qegazet HKU\S-1-5-21-2485468350-622519217-2592332594-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450296146&from=mych123&uid=hitachixhts545032b9a300_091121pbnc06qykjtk4rx&z=666af60b42ee294b45ba46bgfzaw7e7oat9qegazet HKU\S-1-5-21-2485468350-622519217-2592332594-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1423312779&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.look-for-it.info/?l=1&q={searchTerms}&pid=21242&r=2015/02/11&hid=7235236965788956925&lg=EN&cc=PL&unqvl=82 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.look-for-it.info/?l=1&q={searchTerms}&pid=21242&r=2015/02/11&hid=7235236965788956925&lg=EN&cc=PL&unqvl=82 SearchScopes: HKU\S-1-5-21-2485468350-622519217-2592332594-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2485468350-622519217-2592332594-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2485468350-622519217-2592332594-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2485468350-622519217-2592332594-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2485468350-622519217-2592332594-1000 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2485468350-622519217-2592332594-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2485468350-622519217-2592332594-1000 -> {szukaj.gazeta.pl} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO-x32: Brak nazwy -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {8dcb7100-df86-4384-8842-8fa844297b3f} - Brak pliku DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes CMD: ipconfig /flushdns CMD: netsh advfirewall reset C:\Program Files (x86)\DriverToolkit C:\Program Files (x86)\ghokswa Browser C:\Program Files (x86)\qksee C:\Program Files (x86)\vreXjvX C:\Program Files (x86)\WinZipper C:\ProgramData\Google\update C:\ProgramData\TEMP C:\Users\Krzak\AppData\Local\{*} C:\Users\Krzak\AppData\Roaming\awBttMtTrmTUQ7c9H C:\Users\Krzak\AppData\Roaming\qksee C:\Users\Krzak\AppData\Roaming\WinZiper C:\Users\Krzak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain C:\Windows\AutoKMS C:\Windows\System32\drivers\{674829ea-f837-40f8-b8e1-613b1b2d47c8}Gw64.sys Folder: C:\ProgramData\Google Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware SensePlus.V2 4. Zrób nowe logi FRST: - FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. - W FRST w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze i dostarcz wynikowy log. ghokswa Dołącz też plik fixlog.txt. PS. I już nie edytuj pierwszego posta. Odpowiadasz oczywiście w nowym.

Przepraszam, drobne przeoczenie z mojej strony, rzeczywiście mogło się polepszyć po poprzedniej nieudanej rundzie, bo jedyny wpis który FRST przetworzył to poniższy od cracka: KMS-R@1n => serwis pomyślnie usunięto Tak więc to dowód, że crack mieszał. A w tym podejściu wszystko zrobione. W związku z likwidacją cracka mam pytanie: jak wygląda teraz stan aktywacji systemu? I mini poprawka. Otwórz Notatnik i wklej w nim: S3 pneteth; \SystemRoot\System32\drivers\pneteth.sys [X] RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix).

Nie widzę żadnego pliku doczepionego w załącznikach...

Wbrew pozorom MPC Cleaner było łatwo odinstalować, posługując się plikiem deinstalacji w folderze programu. To było pożądane działanie usuwające gładko usługi i sterowniki programu. Niestety opis wskazuje, że próbowałeś go załatwić w stanie czynnym przy udziale zewnętrznych programów. Notabene, stosowałeś wątpliwe programy typu "Spyware Terminator". Temat przenoszę do działu Windows. W raportach brak oznak czynnej infekcji. Opisywane problemy nie wyglądają też w ogóle na powiązane ze szkodliwymi programami i MPC Cleaner. To raczej jest skutek Twoich nieumiejętnych napraw, widzę że są naruszone rzeczy, które definitywnie nie są pochodną szkodliwych instalacji, tylko manipulacji ręcznych. Co widać w raportach: 1. Znaki uszkodzenia konta użytkownika oraz błąd Przywracania systemu sugerujący problem z dyskiem. To na razie pomijam, gdyż nie wiadomo czy na pewno pierwszy błąd odnosi się do konta magic. Na dysku widać, że powstawał jakiś folder C:\Users\TEMP i replikaty, ale nagłówek raportu FRST nie wykazuje, by konto magic miało obecnie charakter tymczasowy. Dziennik Aplikacja: ================== Error: (05/01/2016 08:17:52 AM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Nieokreślony błąd. Dziennik System: ============= Error: (05/01/2016 08:30:43 AM) (Source: volsnap) (EventID: 14) (User: ) Description: Kopie w tle woluminu C: zostały przerwane z powodu usterki We/Wy w woluminie C:. 2. Naruszone WMI systemowe (nadrzędna zależność dla niektórych funkcji systemu): ==================== Punkty Przywracania systemu ========================= Niepowodzenie przy listowaniu punktów przywracania Sprawdź usługę "winmgmt" lub napraw WMI. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI. 3. Rozwalone niektóre linki symboliczne systemu, dlatego Shortcut jest taki ogromny. Widać otwartą "pętlę" Application Data jak w poniższym przykładzie. Obawiam się, że sam do tego doprowadziłeś próbując usuwać MPC Cleaner - zastosowałeś ręcznie jakiś bardzo niepoprawny reset uprawnień na obiektach które nie powinny być resetowane (naturalna "Odmowa dostępu"). Ta usterka wymaga większego nakładu pracy, dla porównania ten temat: KLIK. Z tego powodu na razie to ominę. Shortcut: C:\ProgramData\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Start Menu\Programs\MKVToolNix\Documentation\Command line reference\Chinese Simplified\mkvextract CLI reference.lnk -> C:\Program Files (x86)\MKVToolNix\doc\zh_CN\mkvextract.html () 4. Niepoprawnie odinstalowany AVG TuneUp, po którym zostały czynne różne procesy oraz Debugger filtrujący określone pliki (pliki przestają się uruchomiać w przypadku braku TUAutoReactivator64.exe na dysku): IFEO\driverbooster.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\googledrivesync.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\picasa3.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\picasaphotoviewer.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\samsung link menu start.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\unins000.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\utorrent.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" Wstępnie więc spróbuj skorygować powyższe, z wyjątkiem rozwalonych linków symbolicznych (to wymaga więcej czasu), oraz wyczyścić system z odpadków po różnych programach. Na razie nie zadaję żadnej deinstalacji, gdyż jeden z wpisów Debuggera filtruje plik "unins000.exe", czyli określone deinstalatory mogą nie działać. Działania wstępne: 1. Zastosuj narzędzie AVG PC TuneUp and TuneUp Utilities Remover. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 avchv; system32\DRIVERS\avchv.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 BTCOM; system32\DRIVERS\btcomport.sys [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 IvtComBusSrv; System32\Drivers\btcombus.sys [X] S3 LMIInfo; \??\C:\Program Files (x86)\LogMeIn\x64\RaInfo.sys [X] S4 LMIRfsClientNP; Brak ImagePath S3 usbbus; system32\DRIVERS\lgx64bus.sys [X] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X] S3 USBModem; system32\DRIVERS\lgx64modem.sys [X] Task: {00C20AA7-7F70-40CB-83FB-C7A54D29BA72} - System32\Tasks\{EDBBD858-3159-440B-B6BE-23BF6A461911} => C:\FRST64.exe Task: {01B46222-7713-4848-B050-3A6236313543} - System32\Tasks\{A1F06B1A-E3D9-4100-9D43-4DE9B5D9A3AE} => pcalua.exe -a C:\Users\magic\Desktop\pbsetup.exe -d C:\Users\magic\Desktop Task: {12074A9B-7D25-4DE8-BD50-9F80C198C551} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {1EBA1010-ED08-4BBC-B6DE-311F41CE0786} - System32\Tasks\{957612DC-DB3D-4FD4-89DF-FCC8110F2976} => pcalua.exe -a C:\Users\magic\Downloads\irfanview_plugins_436_setup.exe -d C:\Users\magic\Downloads Task: {275F4128-0F95-4E2A-9D31-9538DA5108D3} - System32\Tasks\{C077FCC1-C6BA-4236-B483-5BC500EA5EC5} => pcalua.exe -a E:\Setup.EXE -d E:\ Task: {364E69BF-911A-44CD-AE37-8A116239308B} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-02-17] (AVAST Software) Task: {486FAF54-EA4E-4B5B-B0F4-642BC48944F5} - System32\Tasks\{6EB28146-E47E-4D9B-A782-9AD81BBE560D} => pcalua.exe -a C:\Users\magic\Desktop\pobór\GTA_Vice_City_-_spolszczenie\GTA_Vice_City_-_spolszczenie\Kopia\Vice.exe -d C:\Users\magic\Desktop\pobór\GTA_Vice_City_-_spolszczenie\GTA_Vice_City_-_spolszczenie\Kopia Task: {49783F7B-3DD5-496C-8757-CA3556759248} - \Program aktualizacji online firmy Adobe. -> Brak pliku Task: {522E0727-578C-4F61-8891-E082E15F59AB} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: {52657C85-BADE-4673-AD57-27C06F0D5191} - System32\Tasks\{5497C09E-A5ED-435C-A6F2-B0F68B81403C} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.13.80.101/pl/abandoninstall?page=tsBing Task: {542600E3-0B17-447E-B5BC-65F2080D5BDF} - System32\Tasks\{DC7726CE-20BA-404A-8E20-53514C51FA44} => C:\Users\magic\Downloads\setup_Exiso_GUI_US.exe Task: {55A995CB-5622-4245-A2A5-6A89BF76734C} - System32\Tasks\{4B5F7559-6747-4B9D-8B9F-6508CDCEA471} => pcalua.exe -a "C:\z rapid\Crysis_2-FLT\AutoRun.exe" -d "C:\z rapid\Crysis_2-FLT" Task: {5EFC9DA5-08CC-42EF-BF01-BD86F3F027BB} - System32\Tasks\{D7B87AD7-0283-4FB0-AB6A-6CC3162D4399} => C:\FRST64.exe Task: {6D22A0FD-7600-4274-BF99-EA231E0ED9AD} - System32\Tasks\{F45D46BF-DC2C-48CD-A966-D3A3501C2A79} => C:\Program Files (x86)\AVG\Framework\Common\avguix.exe [2016-04-14] (AVG Technologies CZ, s.r.o.) Task: {884CEF7D-AB54-4F59-8DA2-43AF30A378BC} - System32\Tasks\{8E8A03AE-0B33-404A-A2D9-91237398A055} => pcalua.exe -a "C:\Users\magic\Downloads\avast_free_antivirus_setup_online (1).exe" -d C:\Users\magic\Downloads Task: {88FE7816-ECDE-4AEF-A082-CA6C7C3511C8} - System32\Tasks\{54F8B335-3DB7-4152-A6CE-6C7B982EA979} => pcalua.exe -a C:\Users\magic\Downloads\FreeRapid-0.86u1\FreeRapid-0.86u1\frd.exe -d C:\Users\magic\Downloads\FreeRapid-0.86u1\FreeRapid-0.86u1 Task: {8A71CC34-C857-4D57-BE48-6C85507142B9} - System32\Tasks\{98DBCFA9-57A5-4BAD-AB47-246BA316530B} => pcalua.exe -a "C:\Users\magic\Downloads\Demolition Racer (FULL)\SETUP.EXE" -d "C:\Users\magic\Downloads\Demolition Racer (FULL)" Task: {9C462641-7D33-4ED4-9185-6EDE8BD7D12D} - System32\Tasks\{C24EBFD3-98E0-4546-B3EE-D8294A311E55} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?page=tsProgressBar Task: {9D99512A-563E-4B34-98AC-F90C52F7F113} - System32\Tasks\{FC4B5C18-8F4E-4EE7-8058-FE0ECDA9F625} => pcalua.exe -a H:\MPlayerPortable(programery.pl)\MPlayerPortable(programery.pl).exe -d H:\MPlayerPortable(programery.pl) Task: {A5DF4716-FC08-46A8-AD2E-215CC19BC561} - System32\Tasks\{BEB8B5EF-2AC2-4CA6-82E5-ACFF224645A0} => pcalua.exe -a H:\fma-2.0-stable-setup.exe -d H:\ Task: {AB040FC0-A59C-41DD-941E-D490CBF3A0A5} - System32\Tasks\{626FE4CE-7F4E-4C5D-AB36-A349302FD96F} => C:\Riot Games\League of Legends\lol.launcher.exe [2014-04-17] () Task: {B37B8D11-4308-4100-96EB-57C7FD609C40} - System32\Tasks\Games\UpdateCheck_S-1-5-21-2171826380-3074024756-2947034106-1524 Task: {B4371971-1B1F-4BCF-B022-400269C21C24} - System32\Tasks\{731D567B-DDF5-473A-BD78-5F7CE5845F8B} => pcalua.exe -a C:\Users\magic\Desktop\instal\j.c.2.2010.rld\steambackup\steambackup.exe Task: {BAFD1E77-9AB7-45A9-BD20-5722C326E39D} - System32\Tasks\{228DE689-2906-435E-B5B4-8E9698BBD14A} => pcalua.exe -a "C:\Users\magic\Downloads\AdwCleaner_www.INSTALKI.pl (1).exe" -d C:\Users\magic\Downloads Task: {BB24C2B6-2A48-44AB-8B81-4A7DA07405EF} - System32\Tasks\{51D1ED7F-ACDD-4886-BA71-59E3E8114BBB} => pcalua.exe -a C:\ProgramData\LGMOBILEAX\LGMLauncher.exe -d C:\ProgramData\LGMOBILEAX Task: {BE848987-7B7F-4B13-9B2F-FC32A005F4E4} - System32\Tasks\DMREngine => C:\Program Files (x86)\Acer\clear.fi\MVP\.\Kernel\DMR\DMREngine.exe [2011-05-20] (CyberLink) Task: {CA3B9EE4-1F70-44F4-A119-96ED1CF5371D} - System32\Tasks\{14AA5547-1593-4C8E-81BC-E3E13D84E5ED} => pcalua.exe -a "C:\Users\magic\Downloads\irfanview_plugins_436_setup (1).exe" -d C:\Users\magic\Downloads Task: {CBD172B2-00C4-473C-9CAE-56DA92BB8568} - System32\Tasks\{BC1BB489-E832-46B4-9F13-6D59D93C3FAF} => C:\Program Files (x86)\Burrrn\Burrrn.exe [2005-10-19] (Gambit (burrrn@burrrn.net)) Task: {D2AD6117-DF78-4210-875F-458C7261CF03} - System32\Tasks\{AD79EA2F-E080-469E-9218-CE77350BAF7B} => pcalua.exe -a C:\Users\magic\Downloads\avast_free_antivirus_setup_online.exe -d C:\Users\magic\Downloads Task: {DB02A8A3-FD86-4D97-A258-48FB679EE1A0} - System32\Tasks\{ADD0CBB0-AB60-4DAC-9497-69F87A60BA2D} => pcalua.exe -a "C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152\Installer\setup.exe" -d "C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152" -c --register-chrome-browser="C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" Task: {DF976769-7811-49FE-937A-1AFCCCF9CA50} - System32\Tasks\{956F671E-2A9E-4B2C-BA72-D16AC582056D} => pcalua.exe -a C:\Windows\TEMP\avast_ash\IrfanView\iview436_setup.exe -d "C:\Program Files\AVAST Software\Avast" Task: {E5D17C33-3711-4999-8363-D69F135D82C5} - System32\Tasks\{9F180B74-CBD2-4AC6-8488-064CD6236D8A} => pcalua.exe -a C:\Users\magic\Downloads\iview437_setup.exe -d C:\Users\magic\Downloads Task: {F3D8B318-4562-45BE-818F-B4878BB70CDD} - System32\Tasks\{348759E0-9D0A-49FF-B566-DE9542CE78AA} => C:\FRST64.exe Task: {F9A5BC34-5CCB-484D-90F6-2811A7317E5A} - \Adobe Flash Player Updater -> Brak pliku Task: {FDCD3AFA-060B-4DDC-AB59-1F54CD86703A} - System32\Tasks\{763B4570-DF7E-4525-B793-6549D7219D76} => C:\Program Files (x86)\Activision\Madagaskar\Game.exe [2005-07-01] () Task: {FE6659F7-FB76-49DF-AE68-B85D243F6258} - System32\Tasks\{AD07944A-E799-4DA2-B2B2-A22325A0435F} => pcalua.exe -a C:\Users\magic\Downloads\burrrn_package.exe -d C:\Users\magic\Downloads HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-2171826380-3074024756-2947034106-1000\...\Policies\Explorer: [HideSCAPower] 0 GroupPolicyUsers\S-1-5-21-2171826380-3074024756-2947034106-1004\User: Ograniczenia CHR HKU\S-1-5-21-2171826380-3074024756-2947034106-1000\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> search.mpc.am ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku BHO: Brak nazwy -> {82A76710-4F98-4957-92BE-99648A4E2475} -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com IE trusted site: HKU\S-1-5-21-2171826380-3074024756-2947034106-1000\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-2171826380-3074024756-2947034106-1000\...\webcompanion.com -> hxxp://webcompanion.com DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome.3ESBNRG4WIKSH6BYA7CJQ2DWZA DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TuneUp.UtilitiesSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DApp DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn GUI DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBAgent DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\.directory C:\Program Files\AVAST C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\Lavasoft C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\MPC Cleaner C:\ProgramData\PCM.log C:\ProgramData\AVAST Software C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\Lavasoft C:\ProgramData\Microsoft\Windows\GameExplorer\{9AE8BE5A-BA7A-43E8-ABB8-9089AF842B98} C:\ProgramData\Microsoft\Windows\GameExplorer\{F69C656D-D491-41C5-87E5-7F2F5D82D1D9} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\LogMeIn Hamachi.lnk C:\Users\Gość\Desktop\gry\AutoRun.exe — skrót.lnk C:\Users\Gość\Desktop\gry\LogMeIn Hamachi.lnk C:\Users\Gość\Desktop\gry\rzeczy związne z grami\ET — skrót.lnk C:\Users\Gość\Desktop\Różne\Pulpit-ania — skrót.lnk C:\Users\Gość\Desktop\Różne\Pliki\Ad-Aware Antivirus.lnk C:\Users\Gość\Desktop\Różne\Pliki\AMR to MP3 Converter.lnk C:\Users\Gość\Desktop\Różne\Pliki\Ashampoo Burning Studio FREE.lnk C:\Users\Gość\Desktop\Różne\Pliki\avast! Free Antivirus.lnk C:\Users\Gość\Desktop\Różne\Pliki\LogMeIn Hamachi.lnk C:\Users\Gość\Desktop\Różne\Pliki\Nokia Suite.lnk C:\Users\Gość\Desktop\Różne\Pliki\Samsung Kies (Lite).lnk C:\Users\Gość\Desktop\Różne\Pliki\Samsung Kies.lnk C:\Users\Gość\Desktop\Różne\Pliki\*Torrent.lnk C:\Users\magic\AppData\Local\{57BB0BF2-989E-46D5-AF94-1B65C091E4A2} C:\Users\magic\AppData\Local\LogMeIn Hamachi C:\Users\magic\AppData\Local\Sunbelt Software C:\Users\magic\AppData\LocalLow\Spyware Terminator C:\Users\magic\AppData\Roaming\MCorp C:\Users\magic\AppData\Roaming\Opera Software C:\Users\magic\AppData\Roaming\Spyware Terminator C:\Users\magic\AppData\Roaming\Ultimate Codec Packages C:\Users\wangzhisong C:\Windows\system32\%LOCALAPPDATA% C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\SBREDrv.sys C:\Windows\SysWOW64\Number of results C:\Windows\SysWOW64\rp_rules.dat C:\Windows\SysWOW64\rp_stats.dat C:\Windows\SysWOW64\ws.db RemoveDirectory: C:\Users\Ania RemoveDirectory: C:\Users\Ania~pc RemoveDirectory: C:\Users\Gość1 RemoveDirectory: C:\Users\TEMP RemoveDirectory: C:\Users\TEMP.pc CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Dzienniki systemu: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń gałąź Dzienniki systemu Windows i z prawokliku Wyczyść Aplikacja oraz System. Następnie rozwiń Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawoliku wyczyść Operational. Po czyszczeniu Dzienników zresetuj system, by nagrał nowe błędy. 5. Zrób nowy log FRST z opcji Skanuj (Scan) na następujących ustawieniach: pola Usługi + Sterowniki ODZNACZONE, pole Addition ZAZNACZONE. Dołącz też plik fixlog.txt.

ComboFix nie nadaje się do rozwiązywania takich spraw. Dostarcz raporty z FRST: - Jeśli system "zaskoczy" za którymś razem, zrób logi spod Windows: KLIK. - Jeśli system nie startuje, zrób log FRST spod RE: KLIK. Niezależnie od tego który wariant wybierzesz, prócz zalecanej w opisie FRST konfiguracji zaznacz pozycję Lista BCD.

Trzeba będzie usunąć ten zmodyfikowany folder. Konto zostało już wyłączone, więc będzie to można zrobić. Ale to nie takie istotne, potem podam co i jak. Nic nie kombinuj ręcznie. Czyli z tego by wynikało, że usterka jest jednak globalna, bo widzę we wcześniejszym poście, że wspominałeś, iż nagle na Administratorze też przestało działać. Poproszę o kopię rejestru do wglądu. Ta utworzona przez FRST pochodzi sprzed wielu manipulacji tu już prowadzonych, więc wygeneruj nową za pomocą narzędzia RegBak. Folder z kopiami plików rejestru spakuj do ZIP, shostuj gdzieś i podaj link do paczki. Analiza tego może zająć dużo czasu, nie obiecuję nic.

Na temat używania ComboFix: KLIK. Log z narzędzia już zostaw. Log wskazuje że narzędzie nic ciekawego nie robiło i zostało uruchomione niepotrzebnie. I ten raport jest mierny, nie da się ocenić stanu systemu w pełni. Zasady działu jakie dane się dostarcza: KLIK. Czyli proszę opisz z czym masz problem, dlaczego był uruchamiany ComboFix, oraz dostarcz wymagane działem logi z FRST i GMER.

Logi z FRST zostały zrobione z poziomu niewłaściwego konta, czyli wbudowanego w system Administratora, a nie konta Właściciel, co oznacza, że w raporcie nie widać określonej zawartości. Nie opisałeś też na czym polega problem z deinstalacją (błędy czy nie możesz się zorientować jaki chiński przycisk do czego służy). Wstępne działania do przeprowadzenia: 1. Wejdź w Tryb normalny na konto Właściciel i przez Dodaj/Usuń programy odinstaluj DAEMON Tools Toolbar, Java 7 Update 55, WinZip, 电脑管家11.5. Ten WinZip to fałszywka. Jeśli czegoś rzeczywiście nie będzie się dało odinstalować normalną drogą, zostanie potem przeze mnie doczyszczone ręcznie. 2. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition z poziomu konta Właściciel.

Nie wiem jakim cudem może być "znacznie lepiej", skoro skrypt nic nie wykonał i żaden obiekt nie został usunięty. Proszę otwórz plik Fixlog i porównaj z Fixlist zadanym przeze mnie. Nie wiem w jaki sposób przeklejałeś skrypt z posta do Notatnika, ale zniszczyłeś formatowanie skryptu - wyzerowałeś wszystkie znaki specjalne (slesze i dwukropki), w rezultacie żadne z wejść nie zostało przetworzone. Powtarzaj punkty 2 i 3 z poprzedniej instrukcji.

To może być fałszywy alarm, ale nie zaszkodzi plik usunąć. A Hitman możesz sobie zostawić do skanów na żądanie w przyszłości lub odinstalować. Na koniec trzy akcje: skorzystaj z DelFix, wyczyść foldery Przywracania systemu, zaktualizuj Adobe Flash Player PPAPI (wersja dla Opery). Wszystkie operacje opisane w przyklejonym: KLIK.

Po inwazji prawie nic widocznego nie zostało, jedno martwe zadanie w Harmonogramie i jeden martwy wpis w folderze Autostart oraz odpadki po tych chińskich softach do ROMów, co nie powinno mieć wpływu na start i zamykanie systemu. O wiele większe podejrzenia budzi matactwo aktywacji i aktywnie ładowane komponenty cracka KMS-R@1n.exe, który startuje z trzech miejsc i wykonuje na dodatek jakieś niesprecyzowane komendy wmi. Crack ten generuje zresztą te błędy w Dzienniku zdarzeń: Dziennik Aplikacja: ================== Error: (05/01/2016 03:52:58 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0xC004F074 Argumenty wiersza polecenia: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=73111121-5638-40f6-bc11-f1d7b0d64300;NotificationInterval=1440;Trigger=UserLogon;SessionId=1 Error: (05/01/2016 03:52:50 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0xC004F074 Argumenty wiersza polecenia: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=73111121-5638-40f6-bc11-f1d7b0d64300;NotificationInterval=1440;Trigger=NetworkAvailable Czyli tu moim zdaniem trzeba zacząć od zdjęcia tego cracka. Oczywiście te szczątki chińskich softów i inne też zostaną zaadresowane, ale nie wygląda, by one miały jakiś wpływ na stan obecny. Wstępnie: 1. Użyj deinstalator tego cracka, o ile posiadasz go i o ile crack ma taką opcję. Widoczne komponenty i tak zaadresuje poniższy skrypt do FRST. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-03-24] () [brak podpisu cyfrowego] IFEO\OSppSvc.exe: [Debugger] KMS-R@1nhook.exe IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nhook.exe Task: {4DF3E139-6CF9-4742-BC55-8C30534C7E6E} - System32\Tasks\R@1n-KMS\Windows64Enterprise => wmic Task: {AC398040-3632-4C2B-A2F3-F214370E30A5} - System32\Tasks\Holuge System => Rundll32.exe "C:\Program Files (x86)\Holuge\hlgSystem.dll",w DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\R@1n-KMS Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FZOCgcQLiOBfgSCUICF.lnk [2016-02-29] FirewallRules: [{773913B0-C635-4130-B227-040210A35F0B}] => (Allow) C:\Windows\KMS-R@1n.exe FirewallRules: [{DFD26E62-6C08-4E33-ABA6-BD6178C6C10B}] => (Allow) C:\Windows\KMS-R@1n.exe FirewallRules: [{5AE5CF19-21FF-4D25-9136-366400050415}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\131\tencentdl.exe FirewallRules: [{E0426F55-1962-4DD4-80B7-37C6505D2EFC}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\131\bugreport_xf.exe GroupPolicyScripts: Ograniczenia HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1585059127-2730434103-678098393-1002\...\Run: [GmailNotifierPro] => C:\Program Files (x86)\Gmail Notifier Pro\GmailNotifierPro.exe /minimized FF DefaultSearchEngine: hohosearch FF SelectedSearchEngine: hohosearch C:\Flashtool C:\Program Files (x86)\Holuge C:\Program Files (x86)\iRoot C:\Program Files (x86)\Kingo ROOT C:\Program Files (x86)\ROMasterLab C:\Program Files (x86)\PdaNet for Android C:\ProgramData\Tencent C:\Users\Arek\.android C:\Users\Arek\.flashTool C:\Users\Arek\.swt C:\Users\Arek\AppData\Local\AWSToolkit C:\Users\Arek\AppData\Local\Kingosoft C:\Users\Arek\AppData\Local\oneClickRoot C:\Users\Arek\AppData\Roaming\FZOCgcQLiOBfgSCUICF.au3 C:\Users\Arek\AppData\Roaming\KLgeFYabEfiGVZUIg C:\Users\Arek\AppData\Roaming\Kingosoft C:\Users\Arek\AppData\Roaming\mgyun C:\Users\Arek\AppData\Roaming\One Click Root C:\Users\Arek\AppData\Roaming\Tencent C:\Users\Arek\AppData\Roaming\zhuodashi C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ˢ»úרĽŇ(׿´óʦ).lnk C:\Users\Arek\Desktop\Vedia x55\*.lnk C:\Users\Arek\Downloads\zds_setup_OPDA.exe C:\Users\Public\Documents\dmp C:\Windows\KMS-R@1n.exe C:\WINDOWS\system32\Drivers\pneteth.sys C:\Windows\System32\Tasks\R@1n-KMS Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "PdaNet Desktop.lnk" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GoogleChromeAutoLaunch_0A01E58E7C4A04A5C96F62A2ABF82ADB /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GmailNotifierPro /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AdobeCEPServiceManager /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy są pozytywne zmiany.

Do usunięcia wszystkie wyniki z grupy "Potential Unwanted Programs" oraz "Cookies". Natomiast nie jestem pewna pliku C:\Users\tom615\Desktop\TSO\TSO_Tools\Updater.exe wykrytego jako malware. Jakie jest pochodzenie tego pliku? Rzuć go na VirusTotal i podaj link do rezultatów skanowania.