picasso

Jeśli chodzi tylko o wątek obciążenia procesora podczas pracy Windows Update, to zdaje się to być obecnie "normalne". Co dopiero aktualizowałam jedną z moich zaniedbanych nieco wirtualnych maszyn z Windows 7. Po wyzerowaniu SoftwareDistribution wyszukiwanie aktualizacji trwało cały dzień, svchost hostujący usługę Windows Update non-stop na 100%. Ale wszystko zostało prawidłowo wykryte, pobrane i zamontowane. Czyli w Twoim temacie pod uwagę tylko nie zdiagnozowany jeszcze w pełni wątek niemożności instalacji określonych aktualizacji.

Ten skrypt do FRST również pomyślnie wykonany. Na wszelki wypadek zrób jeszcze skan za pomocą Hitman Pro i dostarcz wynikowy raport, o ile zostanie wykryte coś innego niż FRST jako "podejrzany plik" (fałszywy alarm).

Zabrakło pliku fixlog.txt z Pulpitu z wynikami przetwarzania skryptu. Niemniej już daruj sobie jego dostarczanie. Nowe logi FRST potwierdzają, że wszystko zostało wykonane. Drobne poprawki na szczątki po odinstalowanych programach: Otwórz Notatnik i wklej: HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) BootExecute: autocheck autochk * sdnclean64.exe Task: {BE9A2500-5A0F-4712-A4BA-B50880BCA680} - System32\Tasks\Driver Booster SkipUAC (tom615) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files (x86)\Trend Micro RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Catalyst RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warships RemoveDirectory: C:\Users\tom615\Doctor Web RemoveDirectory: C:\WINDOWS\System32\Tasks\Safer-Networking Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne. I wypowiedz się jak obecnie działa system.

Zadanie pomyślnie wykonane. Problem rozwiązany. Na koniec zastosuj DelFix. To wszystko.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut oraz GMER. Co do OTL i HijackThis: logi zbędne, to stare narzędzia produkujące mało wiarygodne dziś odczyty, nie mogą się równać ze skanem FRST (mnóstwo detekcji których brak w wymienianych). Na dodatek bez zgodności z nowymi systemami, a HijackThis w ogóle niepoprawnie pobiera dane z systemu 64-bit, który posiadasz. Nie dostarczyłeś raportu z MBAM pokazujące owe detekcje. W FRST widać infekcję DNS Unlocker uruchamianą komendą PowerShell w Harmonogramie zadań. Działania wstępne: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje, wątpliwe programy i przestarzałe skanery: Dll-Files Fixer, Driver Booster 2.4, HiJackThis, Java 8 Update 73 (64-bit), Java 8 Update 73, Java 8 Update 74 (64-bit), Java 8 Update 74, Java 8 Update 77 (64-bit), Java 8 Update 77, Spybot - Search & Destroy, Surfing Protection. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {01B58BD6-0D76-4563-BA27-21DAE77AE38F} - System32\Tasks\{ED2A85B2-4B28-46F1-95C8-CA1A672B5F87} => pcalua.exe -a "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\UninstallTips.exe" -d "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217" Task: {0D5872D0-F2D1-44D7-A0CA-8753AE7EC478} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {17BF3B3E-2E89-499A-8398-8DE0AA846522} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {21022C0B-E2CF-4248-86C4-133B61181727} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {364725D7-83B7-45AD-AD46-85A639B1BCD9} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {3E9BB500-162D-45ED-8D4D-F4754B29E294} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {3F8720E9-C610-489D-BBDE-FB1C56BBB081} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {5AFAA844-2A3C-4BCF-8B67-1733860E02D1} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {5D1FFADD-A213-49AA-BFD8-376DD3C2FE8E} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {5D3F9B3E-36E5-4DD2-9366-9ED0E5442CF3} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {5D5C217C-AD64-46B6-92B4-68D49403B1CE} - System32\Tasks\{85F4D989-B896-435E-863B-893BAA1FD4FC} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Rantouch\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Rantouch\uninstall.dat" -a uninstallme 1CDA7986-8F56-4418-A43C-381D0DC91384 DeviceId=8b648fd8-0dde-9d5e-4067-f2349d35fd02 BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet Task: {5E4000D7-6727-4069-84FF-EE1CDC0D6376} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {616065C6-4707-4FC1-AC13-315CDD6E2CB0} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {658CC27F-AD78-4BD8-9454-70565045332B} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {6B0B87C7-AF8F-476A-BFAA-3B411774961D} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {7227DB06-B1BE-42E3-9BD9-8E9172EAAF0E} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {77F4D78C-AE90-4F2D-A100-A33A1C17C385} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {909B3095-EC62-42DA-9DAA-C0D4B6D5AB3F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {92992DAD-8C8E-4976-B849-4DA6B37CE97F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {9450DC01-415D-4E7F-8702-E65302E6AD14} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {9567D6DB-710E-4C17-B9C5-0A765B9D7FA1} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {96CC64B8-A871-4C7B-9F2F-BBA3E7730CE0} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {AB2A297D-0DAE-41CD-B66E-E1BA1F703BD9} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {AD8E5205-9D74-4BD7-9B51-DAEAED9E8368} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {BBE0278E-AF83-4E81-8089-4FCF856818DC} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {BF91B31E-51C3-46CC-9CAB-5FEF2BBE676B} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {C4D17835-C69C-4706-B8DA-7DBD8CEFDE34} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C9DB2C1A-7CBB-46CF-8EB3-E8424592A925} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {CDAA2B66-74D7-490B-9DBD-EB215FC27EFA} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {CE07150B-944D-4FD2-8CE5-1D5A0F90DF0B} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {D7EFA217-8419-460F-8225-585C7CF47F50} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {DE778AA5-55DB-43F8-96B4-7665655B1FAB} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {DFAA31CD-E4E3-4815-9AC9-DF5338D95EA0} - System32\Tasks\{790C0B47-097A-797E-0C11-0A08090A110C} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgADsAIAA7ACAAOwA7ACAAOwAgACAAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4A (dane wartości zawierają 9352 znaków więcej). Task: {EEA1FE53-391C-4F7F-AAB2-88C0C407D8FA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {EEBF592F-577A-4F42-A778-BCA77617925C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {FDDCEF02-7D66-458E-8B1A-F6F460306850} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-01-30] () S3 cpuz138; \??\C:\Users\tom615\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S3 esgiguard; \??\C:\Program Files\SpyHunter\esgiguard.sys [X] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\pproupd DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\QQPCRTP DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\QQRepairFixSVC DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\rowugoqo DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\sikerewizbt DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains CMD: ipconfig /flushdns CMD: netsh advfirewall reset C:\extensions C:\shldr C:\shldr.mbr C:\ProgramData\136428 C:\ProgramData\136528 C:\ProgramData\89097884600a62f8b1eb02acdfe3fc804563b2ce C:\ProgramData\InstallMachine C:\ProgramData\Orbit C:\ProgramData\TEMP C:\ProgramData\Thunder Network C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4 C:\Users\Public\Thunder Network C:\Users\Public\Documents\dmp C:\Users\tom615\AppData\Local\Chromium C:\Users\tom615\AppData\Local\Sparta C:\Users\tom615\AppData\Roaming\*.* C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP C:\Windows\ehome C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\TAOKernelEx64.sys C:\Windows\system32\Drivers\etc\hosts.*.backup C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\Windows\SysWOW64\clientmon.exe.config Zip: C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Preferences Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj rozszerzenie bez nazwy, o ile jest widoczne. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Ponadto, na Pulpicie powstanie plik upload.zip - ten shostuj na jakimś zewnętrznym serwisie i podaj link do paczki.

Spróbuj przywrócić rejestr używając kopię RegBak. Ona wydaje się ciut starsza niż usterka, gdyż jeszcze dzień później na Pulpicie użytkownik utworzył własne foldery (czyli miał dostęp do systemu): LastRegBack: 2016-04-14 22:14 vs. 2016-04-15 01:01 - 2016-04-15 01:02 - 00000000 ____D C:\Users\User\Desktop\101NIKON 2016-04-15 01:01 - 2016-04-15 01:01 - 00000000 ____D C:\Users\User\Desktop\100NIKON1 2016-04-15 01:00 - 2016-04-15 01:00 - 00000000 ____D C:\Users\User\Desktop\zd 2016-04-15 00:59 - 2016-04-15 00:59 - 00000000 ____D C:\Users\User\Desktop\zakopiec 2016-04-15 00:46 - 2016-04-15 00:47 - 00000000 ____D C:\Users\User\Desktop\laguna Załaduj do FRST skrypt o postaci: LastRegBack: 2016-04-14 22:14 Przedstaw wynikowy fixlog.txt. Opowiedz o wynikach.

Sugestie: 1. Odinstaluj AVG Web TuneUp. To zbędny program przemycany przez instalator AVG, wykonujący modyfikacje preferencji przeglądarek. Przy okazji, czy problemy z muleniem nie pojawiły się ogólnie po instalacji AVG? Wg raportu co dopiero aktualizowały się conajmniej niektóre komponenty AVG. 2. Objawy przy otwieraniu folderów: jest zainstalowany majdan Autodesk, który m.in. zarejestrował nakładkowe ikony na plikach. Sprawdź co się stanie po deaktywacji tego modułu. Tzn. uruchom ShellExView x64, dwuklik na kolumnę Type by pogrupować w bloki te same typy. W bloku typu Icon Overlay Handler wyszukaj wpis odnoszący się do AcSignIcon.dll i z prawokliku wyłącz go. Po operacji zresetuj system. ShellIconOverlayIdentifiers: [AutoCAD Digital Signatures Icon Overlay Handler] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => C:\Windows\system32\AcSignIcon.dll [2013-02-08] (Autodesk, Inc.) 3. W Dzienniku zdarzeń powiela się błąd produkowany przez wpis AMD. Uruchom Autoruns w karcie Logon odznacz AMD AVT. HKLM-x32\...\Run: [AMD AVT] => C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe [20992 2012-03-19] () Dziennik Aplikacja: ================== Error: (04/30/2016 03:04:09 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: kdbsync.exe, wersja: 0.0.0.0, sygnatura czasowa: 0x4f67a718 Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000 Identyfikator procesu powodującego błąd: 0x4c0 Godzina uruchomienia aplikacji powodującej błąd: 0xkdbsync.exe0 Ścieżka aplikacji powodującej błąd: kdbsync.exe1 Ścieżka modułu powodującego błąd: kdbsync.exe2 Identyfikator raportu: kdbsync.exe3

Na koniec zastosuj DelFix.

A po to to jest, by sprawdzić czy sprawa jest tylko na poziomie konta / kont podobnego typu a nie globalna, bo konto Asus może być uszkodzone, mogą być takie naruszenia, których naprawa jest nieopłacalna lub nie będzie możliwa. Na dodatek robiłeś bardzo dziwne operacje na tym koncie: Z tego co rozumiem kopiowałeś jakieś pliki z wbudowanego Administratora do konta Asus, to kopiowanie "włącznie z Appdata" wygląda bardzo podejrzanie. Stan poprawności konta Asus jest teraz nie do potwierdzenia, nie wiadomo co nadpisałeś. A ustawienia UAC nie są trzymane w folderach na dysku. Proszę o jasną odpowiedź, czy obecnie będąc zalogowanym na koncie Open (a nie Asus) występuje problem z przestawianiem się UAC. Jeśli nie, to uważam, że komplikujesz sprawy próbując naprawić konto które nie działa poprawnie. Generalnie na razie wysunęłam takie wnioski na temat tego UAC: Wygląda to na problem osadzony po stronie konta Asus lub kont tego samego typu (dlatego drążony tu jest wątek nowego konta), a odczyt z narzędzi sugeruje brak uprawnień do klucza lub inną usterkę tego poziomu uniemożliwiającą otworzenie klucza. Klucz ustawień UAC jest globalny (HKLM), czyli jego zawartość jest prezentowana identycznie dla każdego konta, które ma uprawnienia, by go odczytać. Klucz wyglądał z poziomu dwóch różnych kont inaczej: wbudowany Administrator go widział poprawnie jako pełny, ale konto Asus widziało klucz jako "pusty". Klucz nie może być pusty, skoro jedno z kont widziało jego zawartość i ma działający UAC. Wnioski: konto Asus nie może się dostać do zawartości klucza. Nie wiadomo dlaczego, czy jest to problem uprawnień konta czy też uszkodzenia tego konta. Na razie to podaj dane o uprawnieniach klucza, tzn. z poziomu konta Asus: Do Notatnika wklej: ListPermissions: HKLM\SOFTWARE\Microsoft ListPermissions: HKLM\SOFTWARE\Microsoft\Windows ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System CMD: net user Asus Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. PS. A problemu WMI w ogóle nie zanalizowałam jeszcze.

Jeśli rzeczywiście figurował napis "przygotowywanie do...", to Fix FRST nawet nie zaczął się wykonywać. Sprawa bardzo tajemnicza. Czy na pewno ten efekt występuje też po restarcie systemu? Raz coś podobnego mi się zdarzyło z FRST i po restarcie wszystko wróciło do normy. Jeśli to jednak nie jest ten rodzaj defektu, to podejrzenia nasuwa ta długa praca wcześniejszego Fixa FRST - mógł nastąpić rekursywny reset uprawnień w ścieżkach C:\Users... Jeśli chodzi o ostatnią partię czynności, to wszystko poszło gładko. Po przyznaniu uprawnień do katalogu WMI Dziennik zdarzeń wrócił do formy. Jeszcze drobne poprawki: 1. Otwórz Notatnik i wklej w nim: AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B} AS: avast! Antivirus (Enabled - Up to date) {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736} Task: {6C27D78B-0173-4FA0-A2D1-671213A97043} - System32\Tasks\{E4AE5714-5576-4A22-92A7-B41739B18B4C} => C:\Program Files (x86)\Super Cyborg - Steam Edition\Super Cyborg.exe Task: {7E0276F0-B3BE-4DBA-9AAE-BF08F89C4933} - System32\Tasks\{C1B01579-8AC8-428E-A0AE-2CC3E05C7B0F} => C:\Program Files (x86)\Super Cyborg - Steam Edition\Super Cyborg.exe Task: {E7222012-81E6-49B0-A8D1-7057F9F44C26} - System32\Tasks\{29F1E356-D161-4B42-B31A-05B5DA837014} => C:\Program Files (x86)\Super Cyborg - Steam Edition\Super Cyborg.exe Task: {F91BDDDD-2D81-40F3-9A53-4A15B3C9D708} - System32\Tasks\{B40AE628-83BA-4B63-BAE6-FA1688F6C265} => C:\Program Files (x86)\Super Cyborg - Steam Edition\Super Cyborg.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Wyczyść Dziennik zdarzeń ze starych błędów. Start > w polu szukania wklep eventvwr.msc > z prawokliku Uruchom jako Administrator. W gałęzi Dzienniki systemu Windows z prawokliku wyczyść Aplikacja i System. 4. I obecnie Kaspersky nie jest poprawnie zarejestrowany w Centrum zabezpieczeń Windows. By Centrum go wykryło, trzeba będzie potem przeinstalować program, ale to jest raczej "szczegół".

Właśnie "LAN" trzeba ustawić ręcznie. Wszystko wygląda OK w raportach. Jeszcze drobne działania dodatkowe: 1. Poprawka na puste wpisy. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software HKU\S-1-5-21-318038007-921987228-2979523656-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Kinia\AppData\Local\Akamai\netsession_win.exe" ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Kinia\AppData\Roaming\Dropbox\bin\DropboxExt.34.dll No File ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Kinia\AppData\Roaming\Dropbox\bin\DropboxExt.34.dll No File ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Kinia\AppData\Roaming\Dropbox\bin\DropboxExt.34.dll No File S3 WinRing0_1_2_0; \??\D:\Game Booster 3\Driver\WinRing0x64.sys [X] CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms} CHR DefaultSearchKeyword: Default -> bing.com DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST zaś niesą potrzebne. 2. Były wcześniej także ślady adware, więc uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

mallach, nie wiadomo co konkretnie zostało uszkodzone w rejestrze, bo raport SpyHunter może nie odpowiadać temu co rzeczywiście usunięto. W raporcie FRST są tylko pośrednie ślady, że conajmniej rozwalono klasy Windows, niestety FRST ogranicza skan tylko do wybranych punktów i owe odczyty nie dają informacji jak daleko posunięto się w tym obszarze oraz co jeszcze zmalowano w innej partii rejestru. Opisywane objawy sugerują, że naruszone jest więcej niż klasy, bo "Microsoft Windows" to ekran ładowania sterowników. Tu wypadałoby przywrócić poprzednią postać rejestru, tylko ciężka sprawa z kopiami zapasowymi. System nie ma w ogóle punktów Przywracania systemu, ani żadnych znaków, że zrobiono dodatkową kopię jakimś narzędziem. W tej sytuacji jedyna możliwość to przywrócenie fabrycznego rejestru (o ile w ogóle istnieje) z folderu Repair pozbawionego jakichkolwiek wtórnych instalacji. Na dysku widać jakąś kombinację z plikiem rejestru SYSTEM, replika z suffiksem "old". Czy wiesz w jaki sposób ten plik został wygenerowany? Czy data jego utworzenia to już czas po uszkodzeniu systemu? 2016-04-29 00:10 - 2012-10-31 04:06 - 19660800 _____ C:\Windows\System32\config\systemold Na początek podaj mi spis plików rejestru. Przygotuj w Notatniku plik o treści: Folder: C:\Windows\Repair Folder: C:\Windows\system32\config Zapisz pod nazwą fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Na przyszłość: raporty FRST nie do końca skonfigurowane wg wytycznych forum, opcje MD5 sterowników i Lista BCD nie miały być zaznaczone. Rozwiń proszę wątek "widać wyraźnie że komputer, a właściwie przeglądarka nie działa tak jak powinna", tzn. o jakich konkretnie zachowaniach mowa. W tytule jest "zamula", ale kiedy / podczas jakich operacji / jak to w zasadzie wygląda. W podanych raportach FRST nie widać już aktywnych obiektów adware, tylko nieczynne szczątki, które nie mają wpływu na działanie systemu. Jeśli coś "zamula", problem jest w czym innym, a nie infekcji. Np. świeżo doinstalowany Kaspersky Internet Security może mieć coś do rzeczy. Na razie doczyszczanie odpadków. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Utatity\Greensuntom.dll => Brak pliku S2 Kownofaj; "C:\Users\core2duo\AppData\Roaming\KucqatLyp\Fiobo.exe" -cms [X] Task: {01166FC5-E5CB-4FA1-8FD0-E19B0EEFE23F} - System32\Tasks\{6F9DA065-2348-48F8-B71C-0FE9CAD50CD1} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Tree-Tax\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Tree-Tax\uninstall.dat" -a uninstallme 423723BD-C1E0-489C-BB53-22BB3CC9B82F DeviceId=c76f6f0b-cb5b-babc-3eb6-15e8b360bc74 BarcodeId=51113011 ChannelId=11 DistributerName=APSFTuto4PC Task: {8F5742CD-82B1-45CB-9BA3-2FCBFD391C40} - System32\Tasks\Eavup => C:\Program Task: {CE0631D0-D03A-4CCA-9E9C-7E56E01EE337} - System32\Tasks\{F099D3CD-40CA-4C10-BC97-28BD03C48A6C} => pcalua.exe -a C:\dzwiek\Setup.exe -d C:\dzwiek Task: {D0928227-2D9B-4CBF-ADB5-E067D0C39877} - System32\Tasks\Jaupkoe => C:\Program HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia C:\Users\core2duo\AppData\Roaming\*.* C:\Users\core2duo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\*.lnk C:\Users\Public\Desktop\YAC Desktop.lnk C:\Users\Public\Desktop\YacWifi.lnk Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Te wyniki GMER nie wyglądają na rzeczywistą infekcję tylko fałszywy alarm. Są wykrywane specyficzne usługi Windows 10 z grupy Unistack, usługi są domyślne i poprawne. Zobaczysz je w Menedżerze zadań, końcowe partie nazwy są losowane i zmienne: W raportach FRST również nie notuję żadnych oznak infekcji. Poboczna uwaga: w Firefox jest NoScript i uBlock Origin. Ten pierwszy nie jest nawet potrzebny, uBlock można ustawić, by zastąpił jego działanie: KLIK.

Nadal duża ilość elementów adware w systemie, w tym aktywne "bezplikowe" malware uruchamiane via PowerShell. Jeśli chodzi o Google Chrome, czy "musiałem zrezygnować z jego używania" mam rozumieć, że jest jakoby "odinstalowane"? Deinstalację sugeruje brak wejścia Chrome na liście zainstalowanych oraz punkt Przywracania systemu zrobiony przez Revo. Z drugiej strony, ogromna ilość elementów Chrome w systemie: na dysku profile przeglądarki, pełne foldery i aktywny aktualizator produktów Google. Zakładając, że tu była "deinstalacja", to odbyła się po łebkach i nie wybrałeś w dialogu deinstalacji usuwania "danych przeglądania", co ma skutek w pozostawieniu na dysku profilów - przy kolejnej instalacji Chrome przeglądarka zaadaptowałaby zaśmiecony profil. wątek Chrome zostawiam na potem, gdyż musisz mi potwierdzić co mam zrobić z widocznymi elementami przeglądarki. Wstępne operacje do wdrożenia: 1. Odinstaluj starą wersję Adobe Flash Player 20 ActiveX & Plugins i odpadek Mozilla Maintenance Service. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Run: [{9CD57532-9BB5-459D-B5D5-840D5AAED44D}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\NUECUUXTIQBZHBX').ILBYHCJBDSD))); Task: {1BE873C0-1C81-4B05-B414-F3554339F4B7} - System32\Tasks\{4C6C9FFE-8DE6-47CE-A3F1-B4B7FA0B06FA} => pcalua.exe -a "C:\Users\Dominik\Documents\Instalki i Programy testowe\Instalki i Programy testowe.exe" -d "C:\Users\Dominik\Documents\Instalki i Programy testowe" Task: {2B63EC50-9E09-470C-835F-8215FA51FB38} - System32\Tasks\Driver Booster SkipUAC (Dominik) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe Task: {3559203F-4FF5-4002-B767-7F42C045838A} - System32\Tasks\DominikShrewsBrawledV2 => Rundll32.exe ReshuffleDistrustful.dll,main 7 1 Task: {3D82B524-FA2D-4295-9A4B-E9F407A68DD5} - System32\Tasks\{86FE08B2-4671-4003-B571-7D35EAE33214} => C:\Users\Dominik\Downloads\Samsung Tools Firmware J500FN\ADB_Fastboot\ADB_Fastboot\fastboot.exe Task: {48EBC457-C3D2-46EE-AB6A-D1D6628301FE} - System32\Tasks\{18A72EC6-A404-445D-9C63-EA61B7A0FD8A} => pcalua.exe -a "F:\Data DOMINIK.exe" -d F:\ Task: {522DE73D-A44A-4019-8ADC-0DB9685F7075} - System32\Tasks\Wipneha => C:\PROGRA~1\GROOVE~1\Jeujwov.bat Task: {563D3DC7-6DE2-4632-894A-83AF9BCE533E} - System32\Tasks\{EABB7CD0-5A1D-4811-8E77-372BC7B68C65} => pcalua.exe -a "F:\MOJE DODATKI (zajebiste)\Fallout 2\1. usunięcie limitu miast!!!\F49+.exe" -d "F:\MOJE DODATKI (zajebiste)\Fallout 2\1. usunięcie limitu miast!!!" Task: {5AA3CCFB-61A3-42C0-8976-4378CA1C0BD7} - System32\Tasks\{9E76A3F6-FE34-4C28-8304-DFD6D5C47B79} => C:\Program Files\Interplay\Fallout 2\Fallout2_High_Resolution_Patch_3.06.exe Task: {6C044518-6209-4D46-B376-8B19D5840E2F} - System32\Tasks\DominikLuminescesFleshersV2 => Rundll32.exe LebanonUnpredictably.dll,main 7 1 Task: {70506136-D0DF-4FA4-BF37-35280C660A08} - System32\Tasks\{0E1C1582-E2AA-4D86-8E7C-BFB01819F673} => C:\Users\Dominik\Desktop\Quake2World\bin\quake2world.exe Task: {78829783-7A11-4816-B948-8C5A2D388E7A} - System32\Tasks\Umowdos => C:\PROGRA~1\GROOVE~2\Kydacewp.bat Task: {88270116-D369-40B1-9D4C-2321D1BB5DBE} - System32\Tasks\{6B3771CE-A628-4C72-899C-63BC6ADF3916} => pcalua.exe -a D:\startuj.exe -d D:\ Task: {8BD4F5B6-45F7-4261-9E77-72E9387F128A} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files\Apple Software Update\SoftwareUpdate.exe Task: {92C96A26-EA33-4255-9B9A-8264DE6C7F88} - System32\Tasks\{B10B081F-D6DC-4DE4-9C03-474C6BA22A91} => pcalua.exe -a G:\DCIM\DCIM.exe -d G:\DCIM Task: {A6A5BD21-BA75-4187-9938-9BB4D0DDCDE5} - System32\Tasks\{F33FCEE7-8710-4E6C-B10B-966F2A5957FA} => pcalua.exe -a "C:\Users\Dominik\Documents\Instalki i Programy testowe\Instalki\Fallout saga\Dodatki\mody\f2\b-team.exe" -d "C:\Users\Dominik\Documents\Instalki i Programy testowe\Instalki\Fallout saga\Dodatki\mody\f2" Task: {B21F3AAC-2140-431C-85D7-DDF287368354} - System32\Tasks\{12EBB43C-0BB4-44A8-8827-0EC8A541EDE8} => pcalua.exe -a C:\Windows\system32\OggDSuninst.exe Task: {B492D402-80E1-4309-A355-E5E0A3EC430F} - System32\Tasks\{7EE14729-7D2F-4A35-ADA1-0E9A8A59BE35} => pcalua.exe -a "C:\Program Files\VS Revo Group\Revo Uninstaller\Revouninstaller.exe" -d "C:\Program Files\VS Revo Group\Revo Uninstaller" Task: {BF198F88-C9D8-4A70-A7B4-940C1B62CE01} - System32\Tasks\{8356E206-CDB8-4DC4-993F-D850CA598490} => pcalua.exe -a F:\Data\setup.exe -d F:\Data Task: {CB110C99-77A7-426E-A524-6FF576D6A1D0} - System32\Tasks\{47245D14-A511-45EE-BB30-01D84C59A27A} => pcalua.exe -a "C:\Users\Dominik\Downloads\Heroes of Might & Magic III Complete [1].exe" -d C:\Users\Dominik\Downloads Task: {CB29AD83-9F4D-4F87-9636-78F87D6852D8} - System32\Tasks\{D49E9D47-F913-49E2-A955-0D3AEE09C0DE} => C:\Program Files\Interplay\Fallout 2\Fallout2_High_Resolution_Patch_3.06.exe Task: {F51BC036-9DC4-4198-A9D9-5D851681AF2B} - System32\Tasks\{8AB64460-9D6A-4C41-B3CE-AD3E90C9CA15} => pcalua.exe -a C:\Users\Dominik\Documents\ePSXe.v1.6.0\ePSXe.v1.6.0`.exe -d C:\Users\Dominik\Documents\ePSXe.v1.6.0 Task: {F75B9DDE-2099-41E8-8A85-2147CB569CEC} - System32\Tasks\DominikHatmakerShirtV2 => Rundll32.exe TraverseEsc.dll,main 7 1 Task: {F7C363ED-C867-400F-851C-E1685CAF59D4} - System32\Tasks\DominikIngateFlashlampV2 => Rundll32.exe EnforceableWandered.dll,main 7 1 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia CustomCLSID: HKU\S-1-5-21-3047276897-3179028656-1573973646-1000_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> C:\Users\Dominik\AppData\Local\Chromium\Application\45.0.2433.0\delegate_execute.exe (IMALI - N.I. MEDIA LTD) HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope - brak wartości U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 CFcatchme; \??\C:\Users\Dominik\AppData\Local\Temp\CFcatchme.sys [X] S3 cpuz138; \??\C:\Users\Dominik\AppData\Local\Temp\cpuz138\cpuz138_x32.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X] S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X] S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X] S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] S1 {25bfebaa-8898-4bf4-8b6f-6b7db87f40f7}Gw; system32\drivers\{25bfebaa-8898-4bf4-8b6f-6b7db87f40f7}Gw.sys [X] DeleteKey: HKCU\Software\Classes\NUECUUXTIQBZHBX DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PriceFountainUpdateVer DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_pl_005010213_is1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rec_en_77_is1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zz.12193.ssp DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main AlternateDataStreams: C:\Windows\system32\Drivers\rndismpx.sys:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\Drivers\usb8023x.sys:$CmdTcID [64] C:\Program Files\is.dat C:\Program Files\uik.dat C:\ProgramData\msvei.exe C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Delta C:\Users\Dominik\AppData\Local\Chromium C:\Users\Dominik\AppData\Roaming\gameboxsetup.exe C:\Users\Dominik\AppData\Roaming\PriceFountainUpdateVer C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WMV9 VCM C:\Windows\system32\Drivers\a8c0c7783213ab2.sys CMD: dir /a C:\Users\Dominik\AppData\Local CMD: dir /a C:\Users\Dominik\AppData\LocalLow CMD: dir /a C:\Users\Dominik\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Podaj co mam robić z Google Chrome: usuwać z dysku i rejestru komponenty pod świeżą czystą instalację, czy ratować "resztki" widoczne w logu.

Sęk w tym, że analiza raportów wymaga po prostu określonej wiedzy o Windows i malware, dlatego pomoc prowadzą osoby w tym wykwalifikowane i dla nich raporty są po prostu oczywiste. Nikt nie objaśnia na co patrzeć w log, bo jest to już zupełnie inne zagadnienie (perspektywa analizy raportu), w każdym raporcie są niejednakowe wpisy zależne od konfiguracji danego systemu (pokazanie czegoś w jednym raporcie nie gwarantuje że to samo będzie w drugim), a skoro użytkownik samodzielnie nie wie w czym rzecz, podanie mu tej informacji nie przyniesie korzyści, a nie daj Boże sam się weźmie za naprawy skryptami FRST i uszkodzi coś w systemie. W skrócie objaśniając na czym polega tu problem: to nie jest wirus tylko adware, stosujące dość proste triki, tzn. hurtowa modyfikacja skrótów LNK przeglądarek (dostawienie argumentu do skrótu) oraz wszystkich możliwych preferencji przeglądarek. W zależności od sytuacji w raporcie mogą być dodatkowe elementy, np. usługi ochronne odnawiające modyfikacje. W raportach FRST różnych użytkowników są unikatowe zestawy, w rozumieniu niejednakowych elementów (inny plik uruchomiono, użytkownik podejmował próby czyszczenia i częściowo pozbył się obiektów, inne przeglądarki zainstalowane, inny stopień modyfikacji, etc.). Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IhPul; C:\Users\Asia\AppData\Roaming\TSv\TSvr.exe [291064 2016-03-24] (tsvr.com) R2 WdMan; C:\ProgramData\HWdMH\WdMan.exe [297984 2016-03-25] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} HKU\S-1-5-21-3163778885-1210311764-318980627-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN HKU\S-1-5-21-3163778885-1210311764-318980627-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN Edge HomeButtonPage: HKU\S-1-5-21-3163778885-1210311764-318980627-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\HWdMH C:\Users\Asia\AppData\Roaming\TSv EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

PriceFountain osadza się w Harmonogramie zadań pod losową nazwą. AdwCleaner tego nie wykrywa. Adware nabyłeś z portalu dobreprogramy, na dysku widać pliki "Asystenta pobierania" tego portalu: KLIK. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {9759856D-5008-4FE2-9837-111410A005FE} - System32\Tasks\mirdoNoisinessJanitressesV2 => Rundll32.exe GymsBateaux.dll,main 7 1 FF SelectedSearchEngine: webssearches RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\mirdo\AppData\Local\NoisinessJanitresses CMD: del /q C:\Users\mirdo\Downloads\*-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition.

Temat wydzielam w osobny i przenoszę do właściwego działu, kompletnie inny system operacyjny (Windows 10). Na dokładną weryfikację sum kontrolnych komponentów potrzebuję więcej czasu. Od razu jednak powiem, że już widać dwa uszkodzone wystąpienia winload - nie mają producenta: C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_10.0.10586.0_none_e7ac528b16fe1379\winload.exe [2015-10-30 08:18][2016-02-13 18:55] 0002896 ____A () F30A98EBB57F23FA6F19471B8CD2E72B C:\Windows\WinSxS\amd64_microsoft-windows-b..ment-windows-minwin_31bf3856ad364e35_10.0.10586.0_none_dc713eb3a655c1c1\winload.exe [2015-10-30 08:18][2016-02-13 18:55] 0002896 ____A () F30A98EBB57F23FA6F19471B8CD2E72B Pliki trzeba będzie podmienić poprawnymi kopiami, ale na analizę i dostarczenie plików z mojego systemu potrzebuję więcej czasu.

Pośrednie znaki w raporcie FRST związane z usterką: HKLM\...\InprocServer32: [Default-wbemess] <==== UWAGA HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] <==== UWAGA HKLM\...26dfa299cadb\InprocServer32: [Authentication UI Logon UI] <==== UWAGA Naruszenie klasy Authentication UI Logon UI to jak najbardziej czarny ekran przy logowaniu, ta detekcja została zresztą dodana do FRST na podstawie mojego zgłoszenia związanego z tym co się działo tu: KLIK. Niemniej pozostałe rekordy z pliku klas mogą sugerować, że jest naruszona grubsza część rejestru i przetworzenie wybiórczo wymienianych wpisów nic nie zdziała. Na razie spróbuj je jednak ruszyć, czyli załaduj do FRST skrypt fixlist.txt o postaci: HKLM\...\InprocServer32: [Default-wbemess] <==== UWAGA HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] <==== UWAGA HKLM\...26dfa299cadb\InprocServer32: [Authentication UI Logon UI] <==== UWAGA Przedstaw wynikowy fixlog.txt. Wypowiedz się czy są jakieś zmiany w logowaniu.

W raportach częściowo widać omawiane naruszenia struktury Harmonogramu po cofnięciu aktualizacji - uszkodzone (puste) zadania Microsoftu, np. od Przywracania systemu. Usunięcie widzianych w raporcie zadań może być nie wystarczające, gdyż jest raportowana mniejsza ich ilość niż liczba komunikatów. Należy radykalnie ogołocić całą strukturę Harmonogramu, by się zaczął odbudowywać od zera. Przy okazji zadam mniejsze poprawki. Czyli: Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule" /f C:\Windows\Tasks\*.job Folder: C:\Windows\System32\Tasks HKLM-x32\...\Run: [NWEReboot] => [X] HKU\S-1-5-21-3100813732-1219306996-2951618635-1001\...\Policies\Explorer: [] R3 PSEXESVC; C:\Windows\PSEXESVC.exe [189792 2016-04-28] (Sysinternals) S2 51cdb72; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Optimizer Pro 3.11\OptProCrash.dll",ENT S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] IE trusted site: HKU\S-1-5-21-3100813732-1219306996-2951618635-1001\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-3100813732-1219306996-2951618635-1001\...\webcompanion.com -> hxxp://webcompanion.com DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\TEMP C:\Users\Dell\AppData\Local\ACCCx2_9_0_465.zip.aamdownload C:\Users\Dell\AppData\Local\ACCCx2_9_0_465.zip.aamdownload.aamd EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. I sprawdź czy jest jakaś zmiana w Harmonogramie.

1. Otwórz Notatnik i wklej w nim: CMD: icacls C:\Windows\System32\LogFiles\WMI\RtBackup /grant SYSTEM:F /T Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw fixlog.txt. 2. Zrób nowy skan FRST z zaznaczonym polem Addition i tylko ten plik mi dostarcz. Nie pamiętasz co było w oknie, poza ogólnym tekstem "Naprawa w toku", tzn. czy na pasku postępu była jakaś konkretna ścieżka? Jak mówiłam, trudno dojść mi co to miało znaczyć, bo w wynikach Fixlog wszystko wygląda OK... Nie wiem o co chodzi. Ta faza "BELL..." to jest wczesna faza ładowania sprzętowego, więc to nie ma na pewno związku z prowadzonymi tu operacjami (tylko obszar Windows). Gdyby defekt się powtarzał, dalsza diagnostyka w dziale Hardware.

To definitywnie nie jest problem infekcji. Widoczny problem sprzętowy. W Dzienniku zdarzeń błędy złych bloków dysku: Dziennik System: ============= Error: (04/28/2016 08:49:30 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Temat przenoszę do działu Hardware. Dostarcz dane wymagane działem: KLIK. PS. Szczegół, w Chrome jest podejrzane rozszerzenie "Video AdBlock for Chrome", zamontowane na poziomie rejestru (= nie pochodzi z Chrome Web Store lecz zewnętrznego instalatora), na forum występowało w kontekście produkcji reklam (czyli efekt przeciwny do sugerowanego nazwą). Odinstaluj to doraźnie, usunięciem reinstalatorów z rejestru ewentualnie zajmę się potem, gdy się okaże że jest sens czyścić widziany tu system.

Wszystko dobrze wygląda, jeszcze małe korekty: 1. W Firefox odinstaluj w menedżerze dodatków stare niepodpisane cyfrowo rozszerzenia Iplex to ALLPlayer + Microsoft .NET Framework Assistant. 2. Doczyszczenie odpadków po odinstalowanych programach. Otwórz Notatnik i wklej: Task: {49AA92E6-495D-48D6-B51C-ADDDBA8C4DF8} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-12-13] (Adobe Systems Incorporated) RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files\OpenOffice.org 3 RemoveDirectory: C:\Program Files\Common Files\Adobe RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 3.0 RemoveDirectory: C:\Users\Henryka Sokołowska\.oracle_jre_usage Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

AdwCleaner dopatrzył się drobnostek. Załatwimy je skryptem FRST (nanoszę korektę na detekcje - tu należy usunąć w całości niedomyślne klucze a nie wartości modyfikować). Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl DeleteQuarantine: CMD: del /q C:\Users\lenovo\Downloads\35h9qo15.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Nie dodałeś raportów z FRST (FRST.txt, Addition.txt, Shortcut.txt). W tych logach wszystko będzie (m.in. procesy i precyzyjna lista zainstalowanych, wliczając wejścia ukryte).