picasso

Skan SFC bez zarzutu. I nie musiałeś go ponawiać. Kolejne rundy SFC są nagrywane do tego samego pliku CBS.log, a znaczniki czasowe identyfikują instancje. Tylko wtedy byłoby potrzebne ponowienie skanu, gdybyś nie uzyskał wyników filtrowania, co świadczyłoby, że Windows ocenił CBS.log jako "za duży" i zarchiwizował poprzednią postać. Wszystko wskazuje na to, że tu niestety był jednak jakiś rekursywny reset uprawnień na całej gałęzi SYSTEM. Ogromna ilość usług wykazuje te same cechy, tzn. utrata oryginalnego układu uprawnień (brak specjalnych kont dostępowych, np. dla Dhcp jest to konto o nazwie Dhcp). Ślady w rejestrze sugerują, że przyznając dostęp zrobiłeś jedno z dwóch: dodałeś grupę Wszyscy i/lub siebie samego (te uprawnienia nie występują w domyślnym układzie uprawnień). Przyznanie grupy Wszyscy owszem doraźnie likwiduje "Odmowę dostępu", choć to "brudny reset", nie jest wiernym układem i otwiera za dużo luk dostępowych. Przywrócenie oryginalnych uprawnień to koszmarna robota. Wykonywałam to kilka razy na forum, ale obecnie ze względu na brak czasu i stan zdrowia nie jestem w stanie tego przygotować dla Ciebie. Układ z "Wszyscy" musi więc pozostać do czasu reinstalacji systemu. Druga sprawa, widoczna dewastacja klucza WinSock2: w widoku głównym podklucza Parameters brak kilku wartości, w ogóle nie ma podklucza AppId_Catalog, a podklucze NameSpace_Catalog5 i Protocol_Catalog9 mocno zredukowane. Na razie spróbuj więc zrekonstruować poprawny wygląd tego klucza. Swoją drogą, z kolei w kluczu Winsock jest przetrzebiona lista bindowanych dostawców, ale to akurat może nie mieć znaczenia. Mam pytanie: czy przypadkiem nie próbowałeś rozwiązywać problemu z siecią całkowicie kasując klucze Winsock + WinSock2 z rejestru? Czyli: 1. Rekonstrukcja brakujących wartości w widoku Parameters oraz całych podkluczy AppId_Catalog i NameSpace_Catalog5. Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters] "NameSpace_Callout"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\ 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\ 5c,00,66,00,77,00,70,00,75,00,63,00,6c,00,6e,00,74,00,2e,00,64,00,6c,00,6c,\ 00,00,00 "AutodialDLL"="rasadhlp.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\06EBDCB1] "AppFullPath"="C:\\Windows\\system32\\wininit.exe" "PermittedLspCategories"=dword:80000040 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\2C69D9F1-0F0A6651] "AppFullPath"="C:\\Windows\\system32\\svchost.exe" "AppArgs"="-k NetworkService" "PermittedLspCategories"=dword:80000044 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\2C69D9F1-1F4968A0] "AppFullPath"="C:\\Windows\\system32\\svchost.exe" "AppArgs"="-k LocalServiceNetworkRestricted" "PermittedLspCategories"=dword:80000040 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\2C69D9F1-215FDCCA] "AppFullPath"="C:\\Windows\\system32\\svchost.exe" "AppArgs"="-k LocalServiceAndNoImpersonation" "PermittedLspCategories"=dword:80000044 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\2C69D9F1-34FFF7C0] "AppFullPath"="C:\\Windows\\system32\\svchost.exe" "AppArgs"="-k LocalService" "PermittedLspCategories"=dword:80000044 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\343305C9] "AppFullPath"="C:\\Windows\\system32\\lsass.exe" "PermittedLspCategories"=dword:80000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000028 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Natomiast, by zresetować Protocol_Catalog9: Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklep netsh winsock reset 3. Zresetuj system i podaj czy widzisz pożądane zmiany.

Mam pytanie: czy na pozostałych dyskach są zainstalowane inne systemy? W wynikach Fixlog widzę: - Na D katalogi starego XP D:\Documents and Settings + D:\WINDOWS, pełne folderów starych programów i śmieci. - Na G katalogi G:\Users + G:\Windows nowszego systemu, bardzo bogate w programy. A może to jakieś kopie zapasowe, bądź "odpadki" po innych instalacjach gotowe do upłynnienia? Jeśli chodzi o podane akcje, pomyślnie wykonane. Drobne korekty dodatkowe: 1. Do zestawu, który trzeba odinstalować, wchodzi QuickTime + Obsługa programów Apple. Co dopiero wykryto krytyczną lukę w programie, Apple zamiast naprawić ... usunęło wsparcie dla Windows i zalecana jest deinstalacja. 2. W Google Chrome są adresy adware. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną Google, skasuj z listy śmieci. 3. Otwórz Notatnik i wklej w nim: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Blizzard Entertainment\Battle.net\Cache RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Opera Software RemoveDirectory: G:\ProgramData\APN RemoveDirectory: G:\ProgramData\ArcaBit Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Będzie bardzo mały i wejdzie do załącznika. W samo Chrome nie należy pokładać zbyt dużej wiary. Z tematu przydatne pozycje w kontekście infekcji szyfrujących: Ponadto, oczywiście kopie zapasowych danych, gromadzone w bezpiecznym izolowanym miejscu (dysk nie podpięty na stałe).

Na przyszłość: należy zakładać własne tematy, nie podpinać się do innych wątków. Tak, dostarcz podobne skany FRST (te z posta numer 2) jak dla poprzednika.

DelFix wykonał robotę. Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam. Wielkie dzięki za ewentualne wsparcie.

O jakie konkretnie strony chodzi, może z prefiksami https? I czy to na pewno wynik infekcji? W systemie działa też pakiet Avast Internet Security z firewallem i osłoną web, co także może mieć coś do rzeczy. W Dzienniku zdarzeń jest nawet błąd ładowania jednego ze składników: Dziennik System: ============= Error: (04/26/2016 07:06:39 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: aswNetSec vs. S1 aswNetSec; C:\Windows\system32\drivers\aswNetSec.sys [552880 2016-02-24] (AVAST Software) Prawie wszystko wykonane. Kolejna porcja zadań: 1. Na próbę odinstaluj Avast Internet Security i zresetuj system, by sprawdzić czy to ma związek z problemem stron. Potem go ewentualnie zainstalujesz ponownie. 2. Odinstaluj stary sterownik SPTD pozostawiony po deinstalacji DAEMON Tools posługując się narzędziem SPTDinst. 3. Otwórz Notatnik i wklej w nim: Task: {7523F310-F624-4DC8-A9B3-738902BED371} - \jIxmRfRCheckTask -> Brak pliku Task: {75A31E1F-80AE-414C-ABF3-3EC50865E12A} - \jIxmRfRBrowserUpdateUA -> Brak pliku Task: {F69E5E56-7F72-4A5C-9060-210818F33239} - \jIxmRfRBrowserUpdateCore -> Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Adobe RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\ProgramData\Adobe CMD: del /q C:\Users\OEM\AppData\Local\{AEFCAA06-3105-4DA4-B367-6D50F50C322B} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 4. Uruchom FRST, w polu Szukaj wklej: jIxmRfR Klik w Szukaj w rejestrze i przedstaw wynikoy log.

W tej sytuacji uważam, że nie ma co dalej kombinować, by nie przekombinować. Gra bez modów działa OK, więc problem wygląda na pochodną modów. Nie wiem jaki to problem i dlaczego nagle im się "pogorszyło", ale skutki pozbycia się ich są oczywiste. Właśnie na stronie wsparcia tego modelu: KLIK. Nie sprawdzałam czy w którejś paczce jest ten "Qualcomm Atheros" i czy w ogóle jest, oczywistego downloadu "KillerNetwork" jakoś nie widzę. Ale jak mówię wyżej, skoro już jest dobrze, zostawić wątek w spokoju. Czyszczenie systemu zostało ukończone. Czynności końcowe już dawno wdrożone. Myślę, że na tym możemy poprzestać. Na dalszą metę sugeruję rozważenie aktualizacji do Windows 10.

Prawie wszystko zrobione, ale tu nie koniec czyszczenia. 1. W Operze nadal widzę adware High Stairs. Czy na pewno nie widzisz tego na liście deinstalacji? Jeśli nie, poniższy skrypt FRST i tak to wywali. 2. Pod kątem wejść których nie da się odinstalować. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1, uTorrentControl_v2 Toolbar > Dalej. Narzędzie trzeba uruchomić 4 razy, nie umożliwia usunięcia wszystkiego za jednym zamachem. Jeśli któryś wpis będzie niewidoczny, nie szkodzi, dokasujemy go potem inną metodą. 3. Otwórz Notatnik i wklej w nim: Task: {C4F273AA-74A4-446D-9D19-76EE8B92E802} - System32\Tasks\Remediation\AntimalwareMigrationTask => C:\Program Files\Common Files\AV\Norton Internet Security\Upgrade.exe [2015-08-06] (Symantec Corporation) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation DisableService: Mobile Partner. RunOuc RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\Norton Internet Security RemoveDirectory: C:\Program Files (x86)\Adobe RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\Users\Dorota\AppData\Local\Adobe RemoveDirectory: C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmlmbdgogacbbglbjomfbcpcnoglbgcm RemoveDirectory: C:\Windows\System32\Tasks\Remediation CMD: for /d %f in (C:\Users\Dorota\AppData\Local\{*}) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 4. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Liczne problemy infekcyjne w systemie: - Infekcja DNS Unlocker (zadanie PowerShell w Harmonogramie i zmodyfikowane masowo serwery DNS przekierowujące na izraelskie IP) - Uruchomiony fałszywy klon Google Chrome jIxmRfR ze zintegrowanym adware, ustawiony jako domyślna przeglądarka, który podmienił wszystkie skróty Google Chrome. Przypuszczalnie wydaje Ci się, że uruchomiłaś Google Chrome, a to podróbka. - Problem pieserch także nie rozwiązany (zmodyfikowane skróty przeglądarek i preferencje Firefox). Akcje do wykonania: 1. Odinstaluj stare niebezpieczne wersje: Adobe AIR, Apple Application Support, Apple Software Update, Java 8 Update 40, Gadu-Gadu 10, Opera 10.50, QuickTime. Tak, cały majdan Quicktime, ponieważ ostatnio wykryto poważną lukę w programie, Apple się wypięło i usuwa wsparcie dla Windows, zalecana kompletna deinstalacja. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 DeskTop_F; C:\ProgramData\desktopfind\desktop244.exe [236728 2016-03-16] (DeskTopService) R2 jIxmRfR_protect; C:\ProgramData\jIxmRfR\protect\protect.exe [303016 2016-04-21] () S2 jIxmRfR_update; C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [473000 2016-04-21] () Task: {2D111878-3D8C-419B-ADDE-2C07AD40D75B} - System32\Tasks\jIxmRfRBrowserUpdateCore => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {2D3FB577-46E9-4516-9F40-65F56CC11E63} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\CE27B5CEDB198923421F52D8D274356E\Update\BrowserUpdate.exe [2016-04-08] (Tencent) Task: {2E125864-79D1-4527-ABE8-403129516330} - System32\Tasks\{163E9032-7509-4DB5-9B49-2C9F925F1F05} => pcalua.exe -a C:\Users\OEM\Downloads\chromeinstall-7u67.exe -d C:\Users\OEM\Downloads Task: {329BC00C-CC95-40D7-ABB0-AA6DDBFEA258} - System32\Tasks\{B09836DB-37DC-4E1A-8ADC-0823D06892C0} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe Task: {4510E2CF-C195-4129-91E3-2BA3136E3D30} - System32\Tasks\{50319244-F92C-4AF6-BADA-4AF495E42C1C} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe Task: {51850AE3-AD21-433A-BE99-DDAE9893375F} - System32\Tasks\{0C0B7A47-7A0B-0E7F-7E11-0D7A0508110D} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcA (dane wartości zawierają 9448 znaków więcej). Task: {7D5718D0-2CF9-43F4-83AC-8272570ABDCB} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater – Install HPSA Logon Task => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe Task: {7D9F93C0-67D4-4D00-A2CF-0AB69B7B7076} - System32\Tasks\{2E97FE42-6004-45C2-BEFB-A603AE56EA6B} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe Task: {8DC7FCD3-28D4-4244-B2C0-C74C781B447A} - System32\Tasks\jIxmRfRBrowserUpdateUA => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {A447D529-E569-4BD9-8483-4ECA5FCA3A52} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-02-03] () Task: {B72FD7B7-0FE1-45BE-ADD5-DBE410A14A33} - System32\Tasks\jIxmRfRCheckTask => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {F95473AA-C127-4614-8397-FC0CFA50B19C} - System32\Tasks\{9A821CF0-9181-49A8-B0EC-2ABE2EBE8768} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\...\Run: [GoogleChromeAutoLaunch_344DDB7B60937B1E369F7AD19F7CD062] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [874648 2016-04-06] (Google Inc.) HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\...\Run: [793893109BBBD53AF57A2AEA9CEEF7B06516C20F._service_run] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [874648 2016-04-06] (Google Inc.) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd ShortcutWithArgument: C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.us.com/?guid={B498C0B8-DB67-494B-A93F-6983C5C64445} HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.us.com/?guid={B498C0B8-DB67-494B-A93F-6983C5C64445} SearchScopes: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000 -> {6C0B584D-6935-4C23-84CA-9371887E42F5} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11433 SearchScopes: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000 -> {D8DEF47E-1B7D-48B0-986F-3FEE2334582A} URL = hxxp://search.us.com/serp?guid={B498C0B8-DB67-494B-A93F-6983C5C64445}&k={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd CHR HKLM-x32\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - hxxps://clients2.google.com/service/update2/crx FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{9506D651-7D0D-4122-8524-9FD5F47614CD}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{ADF0E688-D307-4D46-9A33-584F845183CD}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{DC85143D-8AE0-4F46-9CC2-2DC2B61D52D0}: [NameServer] 82.163.142.7 95.211.158.134 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Classes\jIxmRfRHTM DeleteKey: HKCU\Software\Clients\StartMenuInternet\jIxmRfRHTM DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKLM\SOFTWARE\Wow6432Node\jIxmRfR DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_.html /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_.xht /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_https /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_http /f Reg: reg delete HKCU\Software\RegisteredApplications /v jIxmRfRHTM /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe" /f C:\Program Files (x86)\jIxmRfR C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\WinTaske C:\Program Files (x86)\WinZipper C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\desktopfind C:\ProgramData\jIxmRfR C:\ProgramData\XwinpX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TopWare Interactive C:\Users\OEM\AppData\Local\jIxmRfR C:\Users\OEM\AppData\Roaming\Drimar C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite.lnk C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\OEM\Desktop\Pressure.lnk C:\Users\Public\Desktop\Google Chrome.lnk C:\Windows\system32\log C:\Windows\SysWOW64\pl.html CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ręcznie zrób skróty przeglądarki na Pulpicie / Pasku zadań i w Menu Start. Wybraną przeglądarkę ustaw jako domyślną, by przebiła ustawienia fałszywego klona. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

GrindujTopy Jeśli chodzi o problem z załączeniem pliku, to w instrukcji było podane, by zmienić rozszerzenie z *.log na *txt. 1. Usuń za pomocą Hitman pliki sklasyfikowane jako "malware" oraz wszystkie wykryte cookies. Hitman możesz odinstalować lub zostawić do skanów na żądanie w przyszłości. 2. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. To wszystko, jeśli chodzi o czyszczenie z adware. Obecnie widać następujące pozycje: ==================== Zainstalowane programy ====================== CCSDK (HKLM-x32\...\{AE75190B-11B4-4F90-8254-DAB275CF2557}_is1) (Version: 1.1.0.7 - Lenovo) Lenovo Bluetooth with Enhanced Data Rate Software (HKLM\...\{C6D9ED03-6FCF-4410-9CB7-45CA285F9E11}) (Version: 12.0.0.9840 - Broadcom Corporation) Lenovo Dependency Package (HKLM\...\Lenovo Dependency Package_is1) (Version: 1.6.38.00 - Lenovo Group Limited) Lenovo EasyCamera (HKLM-x32\...\{E0A7ED39-8CD6-4351-93C3-69CCA00D12B4}) (Version: 6.2.9200.10292 - Realtek Semiconductor Corp.) Lenovo FusionEngine (HKLM-x32\...\Lenovo FusionEngine) (Version: 1.0.13.0 - Lenovo, Inc.) Lenovo OneKey Recovery (HKLM-x32\...\InstallShield_{46F4D124-20E5-4D12-BE52-EC177A7A4B42}) (Version: 8.1.0.2619 - CyberLink Corp.) Lenovo PhoneCompanion (HKLM-x32\...\InstallShield_{0F82EA83-B0C5-4AB9-9695-DFE92C5FD57B}) (Version: 2.0.0.19 - Lenovo) Lenovo Photo Master (HKLM-x32\...\InstallShield_{BC94C56A-3649-420C-8756-2ADEBE399D33}) (Version: 1.0.1826.01 - CyberLink Corp.) Lenovo PowerDVD10 (HKLM-x32\...\InstallShield_{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}) (Version: 10.0.6806.52 - CyberLink Corp.) Lenovo Settings - Camera Audio (HKLM\...\{88C6A6D9-324C-46E8-BA87-563D14021442}_is1) (Version: 4.3.5.0 - Lenovo Corporation) Lenovo Settings (HKLM\...\{D14CCBF5-1A3A-4C08-955B-BE6D519835C4}_is1) (Version: 2.0.0.4 - Lenovo) Lenovo Settings Dependency Package (HKLM\...\{3694BA2E-BE31-4B7E-886B-A0B559E69D4D}_is1) (Version: 2.3.1.28 - Lenovo Group Limited) Lenovo Settings Service (HKLM\...\{8C6F1EBA-17F1-4481-B688-9777E63E985F}_is1) (Version: 2.3.0.20 - Lenovo Group Limited) Lenovo Settings UMDF driver (HKLM\...\{2BDC7413-65EA-4B99-8C4B-02F11075BE6D}_is1) (Version: 1.2.0.6 - Lenovo Group Limited) Lenovo Settings WiFi (HKLM\...\{86045A6C-C156-4349-A3E2-47A88A42F5C2}_is1) (Version: 2.0.0.2 - Lenovo) Lenovo Solution Center (HKLM\...\{4C2B6F96-3AED-4E3F-8DCE-917863D1E6B1}) (Version: 2.7.003.00 - Lenovo Group Limited) Lenovo VeriFace Pro (HKLM\...\Lenovo VeriFace) (Version: 5.1.14.6181 - Lenovo) Lenovo_Wireless_Driver (HKLM-x32\...\{5D642A72-8194-4A22-80DA-11FE610CCA8E}) (Version: 6.30.223.201 - Lenovo) OneKey Optimizer (HKLM-x32\...\InstallShield_{D5D573DC-D989-4769-9B56-D6A7EA503D7F}) (Version: 1.1.20.16 - Lenovo) Z tej grupy ruszyłabym tylko CCSDK (jakoś go przeoczyłam, to element "zbierania statystyk") oraz o ile z nich nie korzystacie Lenovo PhoneCompanion (związane z synchronizacją telefonu), Lenovo Photo Master i Lenovo PowerDVD10. Ewentualnie Lenovo VeriFace Pro, jeśli nie jest używany system identyfikacji za pomocą twarzy. Rucek On nie ma takich programów na liście. A Pokki już odinstalowane. Zadałam do deinstalacji Host App Service (Pokki), Lenovo Web Start (Pokki) i Metric Collection SDK 35 + usunęłam skryptem FRST zbędne zadania "Lenovo Customer Feedback Program" zbierające dane.

Skrypt FRST pomyślnie wykonany. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND) Firmware dla TD-W8901G

W Dzienniku zdarzeń tylko jakieś niesprecyzowane błędy które trudno dopasować. Jaki błąd jest zwracany podczas instalacji aktualizacji? Czy tu przypadkiem nie występuje ten problem: KLIK? Jeśli nie jest to jednak identyczny przypadek, dostarcz te same dane, o które prosiłam tamtego użytkownika. PS. W spoilerze kosmetyczne usunięcie śmieci i szczątków Firefoxa, kompletnie bez związku ze zgłoszonym problemem.

Temat przenoszę do działu Windows, "dzisiaj kupiony laptop" i nie ma tu co szukać infekcji. Z raportów FRST nic nie wynika. Widać, że już próbowałaś redukować firmowe integracje i deinstalowałaś McAfee. Pojawił się za to ESET - czy laptop wolno działał również po deinstalacji McAfee ale przed instalacją ESET? Na razie wstępne sugestie: 1. McAfee nie odinstalował się w pełni - zastosuj narzędzie McAfee Consumer Product Removal Tool. 2. Sprawdź czy problem stanowią wpisy w starcie i usługach, przeprowadzając tzw. "czysty rozruch": KLIK. 3. Można się pozbyć też tych integracji (pomijając programy z których jednak korzystasz): ==================== Installed Programs ====================== CyberLink PhotoDirector 3 (HKLM-x32\...\InstallShield_{39337565-330E-4ab6-A9AE-AC81E0720B10}) (Version: 3.0.1.4107 - CyberLink Corp.) CyberLink PowerDirector 10 (HKLM-x32\...\InstallShield_{B0B4F6D2-F2AE-451A-9496-6F2F6A897B32}) (Version: 10.0.0.2810 - CyberLink Corp.) Dolby Digital Plus Home Theater (HKLM\...\{7E3D8FA1-6092-469A-955B-68FC4A2C67CA}) (Version: 7.5.1.1 - Dolby Laboratories Inc) Dragon Assistant Application en-US version 1.5.8 (HKLM-x32\...\{1CCBE73F-4948-4711-8D12-22E2FD65D706}_is1) (Version: 1.5.8 - Nuance Communications, Inc.) Dragon Assistant Core Recognition Service version 1.1.10 (HKLM-x32\...\{E97BA7A6-46FC-4EBF-B24A-B8362948C696}_is1) (Version: 1.1.10 - Nuance Communications, Inc.) Dragon Assistant Installer version 1.5.8 (HKLM-x32\...\{D57A8269-3BE5-4D10-B882-64D0F2D448BF}_is1) (Version: 1.5.8 - Nuance Communications, Inc.) Dragon Assistant Language Data en-US version 1.1.3 (HKLM-x32\...\{4C0C1E4E-D3B1-4496-98EC-DA14D45EC855}_is1) (Version: 1.1.3 - Nuance Communications, Inc.) Lenovo Experience Improvement (HKLM\...\LenovoExperienceImprovement) (Version: 1.0.4.0 - Lenovo) Lenovo Motion Control (HKLM-x32\...\InstallShield_{0D740B00-2307-44AC-B91B-F3E67444ECA6}) (Version: 2.0.1.0107 - PointGrab) Lenovo PhoneCompanion (HKLM-x32\...\InstallShield_{0F82EA83-B0C5-4AB9-9695-DFE92C5FD57B}) (Version: 1.2.0.2 - Lenovo) Lenovo PowerDVD10 (HKLM-x32\...\InstallShield_{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}) (Version: 10.0.5630.52 - CyberLink Corp.) Lenovo Smart Voice (HKLM\...\Lenovo SmartVoice) (Version: 1.0.2.2 - Lenovo) Lenovo VeriFace Pro (HKLM\...\Lenovo VeriFace) (Version: 5.1.14.2111 - Lenovo) Magic Transfer (HKLM-x32\...\InstallShield_{AD2B2BD1-A1D7-4798-8FDD-B2A58FD94E68}) (Version: 1.1.1.11 - Lenovo) Nitro Pro 8 (HKLM\...\{392C767D-4EE2-49B5-A3B4-A4C3AB6DC145}) (Version: 8.5.7.1 - Nitro) NVIDIA GeForce Experience 1.8.2 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 1.8.2 - NVIDIA Corporation) Pokki Start Menu (HKU\S-1-5-21-1571231700-2717941315-1072459818-1001\...\Pokki) (Version: 0.267.1.191 - Pokki)

Drobnostki końcowe: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\$Windows.~BT wykazujący podobne naruszenia. W przypadku gdyby nie chciał się usunąć (błąd "Odmowa dostępu"), zastosuj skrypt fixlist.txt do FRST o zawartości: RemoveDirectory: C:\$Windows.~BT 2. A na szarym końcu skorzystaj z DelFix i wyczyść foldery Przywracania systemu: KLIK

Zapomniałam zapytać, a jaki jest stan: Zatrzymano czy Uruchomiono? Jeśli to pierwsze, to jaki błąd zwraca próba uruchomienia usługi? Na razie to nie kombinuj za bardzo, dopóki się nie wyjaśni co jest nie tak z usługą Dziennika zdarzeń. Usługa ta musi być sprawna, są różne zależności wymagające poprawnego funkcjonowania tego komponentu. Tu nie tylko chodzi o to, że nie można odczytać logów Dziennika. Zakładając, że FRST nie był zawieszony, to jedyna możliwość jaką widzę to wykonanie przez FRST operacji "Unlock" na docelowych folderach C:\Users i C:\Program files a nie na linkach, pomimo że Fixlog tego nie potwierdza (tzn. w Fixlog jest że operacja była na linkach)... W tym przypadku byłoby to bardzo niepożądane, to by oznaczało rekursywny reset uprawnień tych katalogów. To byłby pierwszy taki przypadek na forum, nigdy tego nie widziałam na forum w tematach z komendami Unlock.

Nareszcie dostarczyłeś poprawne logi. Zadane wcześniej operacje pomyślnie wykonane. Nie wypowiadasz się jednak czy jest jakaś poprawa w działaniu systemu / Google. Konkretnie się wypowiedz czy są jakieś problemy obecnie. Teraz do wykonania drobne poprawki na błędy i odpadkowe śmieci. Działania do wykonania: 1. Błędy w Dzienniku zdarzeń: Error: (04/26/2016 08:45:23 AM) (Source: SNMP) (EventID: 1500) (User: ) Description: Usługa SNMP napotkała błąd podczas dostępu do klucza rejestru SYSTEM\CurrentControlSet\Services\SNMP\Parameters\TrapConfiguration. Masz zainstalowany w Windows niedomyślny komponent Simple Network Management Protocol (SNMP). Czy w ogóle z tego korzystasz? Jeśli nie, to: Panel sterowania > Programy i funkcje > Włącz lub wyłącz funkcje systemu Windows > odznacz pozycję Protokół SNMP > zresetuj system. Error: (04/26/2016 09:30:33 AM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Uruchom narzędzie Fix-it z tego artykułu: KLIK. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Doczyszczanie szczątków po programach. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2286393275-2221825981-1864126036-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) BootExecute: autocheck autochk * sdnclean64.exe Task: {E513FC92-A88E-4472-A2E6-7274AAFB0220} - System32\Tasks\{224EFD0A-21E9-4782-96DB-86670F3B988D} => pcalua.exe -a "C:\Program Files (x86)\Lavasoft\AD-AWA~1\UNWISE.EXE" -c C:\Program Files (x86)\Lavasoft\AD-AWA~1\INSTALL.LOG Task: {EE1C6C7C-913A-44B5-B909-60CD58CAD929} - System32\Tasks\Driver Booster SkipUAC (Krzysiek) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: C:\Windows\Tasks\Check for updates (Spybot - Search & Destroy).job => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe Task: C:\Windows\Tasks\Refresh immunization (Spybot - Search & Destroy).job => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe Task: C:\Windows\Tasks\Scan the system (Spybot - Search & Destroy).job => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S1 SMR501; \SystemRoot\System32\drivers\SMR501.SYS [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SMR501 => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SMR501.SYS => ""="Driver" HKU\S-1-5-21-2286393275-2221825981-1864126036-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2286393275-2221825981-1864126036-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2286393275-2221825981-1864126036-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku FF Homepage: hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MBAMScheduler DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MBAMService DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google RemoveDirectory: C:\NPE RemoveDirectory: C:\Program Files (x86)\IObit RemoveDirectory: C:\Program Files (x86)\Malwarebytes Anti-Malware RemoveDirectory: C:\Program Files (x86)\PC Tools RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98} RemoveDirectory: C:\ProgramData\F-Secure RemoveDirectory: C:\ProgramData\IObit RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\ProgramData\PC Tools RemoveDirectory: C:\ProgramData\SMR501 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft Ad-Aware SE Personal RemoveDirectory: C:\SUPERDelete RemoveDirectory: C:\Users\admin RemoveDirectory: C:\Users\Krzysiek\AppData\Local\FSDART RemoveDirectory: C:\Users\Krzysiek\AppData\Local\F-Secure RemoveDirectory: C:\Users\Krzysiek\AppData\Local\NPE RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\Ad-Aware Antivirus RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\IObit RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\TestApp RemoveDirectory: C:\Windows\IObit RemoveDirectory: C:\Windows\system32\log RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking CMD: del /q C:\DelFix.txt CMD: del /q C:\ProgramData\SMRResults501.dat CMD: del /q "C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\Ad-Aware SE Personal.lnk" CMD: del /q C:\Users\Krzysiek\.android CMD: del /q C:\Users\Krzysiek\AppData\Roaming\*.* CMD: del /q C:\Users\Krzysiek\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK CMD: del /q C:\Users\Krzysiek\Downloads\kavremvr*.exe CMD: del /q C:\Users\Krzysiek\Downloads\KVRT.exe CMD: del /q C:\Windows\ntbtlog.txt.bak CMD: del /q C:\Windows\system32\Drivers\189407C3.sys CMD: del /q C:\Windows\system32\Drivers\3DD14865.sys CMD: del /q C:\Windows\system32\Drivers\43956082.sys CMD: del /q C:\Windows\system32\Drivers\48230029.sys CMD: del /q C:\Windows\system32\Drivers\7D2E5C29.sys CMD: del /q C:\Windows\system32\Drivers\PCTSD64.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: netsh winsock reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt tam gdzie siedzi FRST, czyli na Pulpicie. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Na Pulpicie powstanie plik fixlog.txt. Plik ten dostarcz metodą załączników, na spodzie w edytorze Więcej opcji > Dołącz pliki. Nowe skany FRST nie są potrzebne.

Z powodu braku raportów FRST nabrałam wątpliwości, stąd pytanie: jak te pliki *.locky wyglądają? Czy zaszyfrowane pliki to zmieniona nazwa oryginalna na nieczytelną.locky czy zachowana nazwa oryginalna pliku.locky? W pierwszym przypadku (i wszystkie tematy na forum tego dotyczyły) mówimy o prawdziwym Locky, którego nie można odkodować. Ale w drugim przypadku jest to infekcja "AutoLocky" tylko imitująca prawdziwe Locky i tę można odkodować za pomocą narzędzia Emsisoft Decrypter for AutoLocky.

Raportowane przez Ciebie sprawy zrobione. Natomiast w pierwszym podanym logu Addition figurował następujący błąd: ==================== Błędy w Dzienniku zdarzeń: ========================= Niepowodzenie przy uruchamianiu usługi "eventlog", nie można odczytać zdarzeń. Usługa Dziennik zdarzeń systemu Windows jest właśnie uruchamiana. Nie można uruchomić usługi Dziennik zdarzeń systemu Windows. Wystąpił błąd systemu. System nie może znaleźć komunikatu dla numeru komunikatu 0x1069 w pliku komunikatów dla (null). Dostępne są dalsze informacje Pomocy; aby je uzyskać, wpisz NET HELPMSG 4201. Start > w polu szukania wklep services.msc > powiedz czy widzisz na liście usługę Dziennik zdarzeń systemu Windows, a jeśli tak to z dwukliku pobierz Właściwości i podaj jaki jest stan: Automatyczny czy Wyłączony. Czy mam rozumieć, że Fix FRST tak długo mielił?! Jego zawartość miała się wykonać błyskawicznie... A to, że te niemieckie obiekty nagle stały się puste to właśnie było moje docelowe działanie. One nie były normalnymi folderami tylko symbolicznymi linkami do C:\Users i C:\Program files i otwierając je widziałeś zawartość docelowych folderów. Skrypt FRST rozlinkował je i stały się one normalnymi pustymi folderami, które jak najbardziej były na ubój przeznaczone. Dużą selekcję danych wykonałam w tym temacie: KLIK. Posiadasz komercyjny pakiet Kaspersky Internet Security (realizujący wiele funkcji) i nie widzę powodu, by go zmieniać.

Fix FRST pomyślnie wykonany. Kontynuując czyszczenie adware: 1. Uruchom AdwCleaner ponownie, zastosuj po kolei Skanuj + Usuń. Gdy program skończy czyszczenie, odinstaluj go za pomocą opcji w interfejsie. Następnie przez SHIFT+DEL (omija Kosz) skasuj z dysku ten folder: C:\Users\Natalka\AppData\Local\Installer 2. Zrób skan za pomocą Hitman Pro i dostarcz wynikowy log. Na analizę tego wątku potrzebuję więcej czasu. Odpowiem w tej kwestii potem.

Na koniec zastosuj DelFix, wyczyść foldery Przywracania systemu, a jeśli potrzebne zainstaluj najnowsze wersje odinstalowanych wcześniej staroci. Wszystko opisane tu: KLIK PS. Tak, to są nadal aktualne konta. Z góry dzięki za ewentualne wsparcie!

Rozkładam ręce.... Dostarczyłeś ponownie dwa niepoprawne zestawy logów, a każdy na dodatek z innej wersji FRST... Pierwszy: utworzony w Pobranych, log FRST.txt niepoprawny (zawiera zawartość Shortcut). Drugi: z katalogu D:\Programy\frst, przy czym to logi ze starej wersji FRST, a plik FRST.txt całkowicie pusty. Wszystko usuwam. Proszę skup się: 1. Skasuj folder D:\Programy\frst. Następnie zastosuj DelFix, by usunął wszystkie dotychczas pobrane wersje FRST i jego logi z katalogu Pobrane. 2. Pobierz FRST z przyklejonego: KLIK. Zapisz na Pulpicie, a nie w katalogu Pobrane czy innym. Uruchom z Pulpitu, zaznacz pola Addition i Shortcut i zrób skan. Na Pulpicie powstaną trzy pliki: FRST.txt, Addition.txt, Shortcut.txt. Te pliki dostarcz metodą załączników, na spodzie w edytorze Więcej opcji > Dołącz pliki.

1. Hitman nie wykrył nic ciekawego, tylko drobne ciastka w Firefox. Usuń za pomocą programu. A te "podejrzane pliki" to detekcja FRST i jest to fałszywy alarm. 2. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Prawie wszystko zrobione. Niestety aktywny śmieć adware zdążył się podmienić we wpisach AppInit_DLLs i nowe pozycje wskoczyły. Poprawki: 1. Otwórz Notatnik i wklej: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\idna\Stock-Stock.dll => C:\ProgramData\idna\Stock-Stock.dll [361984 2016-04-25] () AppInit_DLLs-x32: C:\ProgramData\idna\Kaycore.dll => C:\ProgramData\idna\Kaycore.dll [257536 2016-04-25] () S2 idna; C:\ProgramData\\idna\\idna.exe -f "C:\ProgramData\\idna\\idna.dat" -l -a StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64 DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\ProgramData\idna RemoveDirectory: C:\ProgramData\idnas RemoveDirectory: C:\Users\Natalka\AppData\Local\Google CMD: del /q C:\WINDOWS\SysWOW64\pl.html Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Uruchom na tym koncie AdwCleaner ponownie, wybierz po kolei opcje Skanuj + Usuń. Po ukończeniu akcji na Marku, sprawdź co mówi AdwCleaner na kolejnym koncie i dostarcz log tylko w przypadku gdy coś zostanie znalezione.

OK, czyli wszystko wygląda na załatwione. Jednakże jeszcze na koncie Marek zrób skan tym narzędziem: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Po potwierdzeniu co widzi narzędzie na tym koncie, będzie można je dla pewności zapuścić na pozostałych kontach po kolei.

1. AdwCleaner znalazł dużo odpadków adware. Uruchom go ponownie, wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie, odinstaluj go używając przycisk w oknie. 2. Następnie zrób skan za pomocą Hitman Pro i dostarcz wynikowy log.