picasso

Czy jest jakaś poprawa? vs. Nic więcej ponadto co powiedziałam nie jestem w stanie dodać. Sterowników komputera nie da się w pełni zweryfikować via FRST. Jedyne co widać, to stan niedomyślnych usług sterownikowych (i tu nic konkretnego) oraz brak zgłoszeń na temat wadliwych urządzeń w Menedżerze urządzeń. To nie jest pełna diagnostyka sterowników, nie wspominając o sprzęcie per se.

Na koncie Asia następujące czynności do przeprowadzenia: 1. I tu Firefox jest zanieczyszczony adware. Czyli z poziomu Asi wykonaj podobne działania jak wcześniej dla Marka: 2. Mini usuwanie odpadkowych wpisów. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-725345543-117609710-1801674531-1007\...\Run: [Gadu-Gadu] => "D:\Program Files\Gadu-Gadu\gg.exe" /tray HKU\S-1-5-21-725345543-117609710-1801674531-1007\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=107 C:\Documents and Settings\Asia\Pulpit\Skrót do gg.lnk Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. I trzecia sprawa - widziałam to już wcześniej tylko czekałam na log Shortcut pobrany z innego konta, by wykluczyć błąd FRST. Prawie na wszystkich kontach użytkowników innych niż Marek wiele skrótów narzędzi systemowych w Menu Start jest pustych, gdyż kierują na D:\Program files zamiast C:\Program files. Trzebaby było ręcznie skróty poprawić we Właściwościach skrótu podmieniając literę D na C. Dla Asi są to następujące skróty: Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Outlook Express.lnk -> D:\Program Files\Outlook Express\msimn.exe (Brak pliku) Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Akcesoria\Książka adresowa.lnk -> D:\Program Files\Outlook Express\wab.exe (Brak pliku) Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Brak pliku) Shortcut: C:\Documents and Settings\Asia\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> D:\Program Files\Internet Explorer\IEXPLORE.EXE (Brak pliku) I niektóre skróty matrycy kont wykazują tę samą wadę, czyli każde nowo zakładane konto będzie mieć skróty kierowane na D. Na razie do poprawienia też te skróty: Shortcut: C:\Documents and Settings\Default User\Menu Start\Programy\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Default User\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku)

1. Sekcja "Suspicious files" do zignorowania. Czyli do usunięcia w Hitman są tylko szczątki adware, tzn. grupy opisane jako "Potential Unwanted Programs" i "Cookies". 2. Na koniec pousuwaj z dysku wszyskie kopie FRST i jego logi. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Dla porządku najpierw podaj logi tylko z jednego konkretnego konta. Dopiero gdy zostanie sprawdzone, z następnego.

Jak mówiłam, nie wiem czy obecnie aktywność cracka jest pełna, ponieważ nie widzę modyfikacji plików user32.dll. A ten zmodyfikowany przez cracka plik Hosts można przywrócić do stanu domyślnego stosując narzędzie Fix-it: KLIK. Logi z FRST są bardzo ograniczone i na ich podstawie nie można wszystkiego stwierdzić, ani wykonać diagnostyki stricte sprzętowej. Niemniej to co widać nie wskazuje na jakieś konkretne problemy.

Fix wykonany. Zostaje więc sprawa pozostałych kont użytkowników w Windows - czy masz do nich dostęp?

1. Ostatnia poprawka na puste wpisy po świeżych deinstalacjach. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku FF Plugin: @java.com/DTPlugin,version=1.6.0_33 -> C:\WINDOWS\system32\npdeployJava1.dll [2012-08-09] (Sun Microsystems, Inc.) CustomCLSID: HKU\S-1-5-21-725345543-117609710-1801674531-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-725345543-117609710-1801674531-1003_Classes\CLSID\{3A348AFF-1337-0420-A942-B5011F78DA33}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-725345543-117609710-1801674531-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-725345543-117609710-1801674531-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Skype RemoveDirectory: C:\Documents and Settings\Mama\Dane aplikacji\Skype Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Wracam do tego wątku: Dotychczas było sprawdzane tylko jedno konto użytkownika MarekM. Jeśli system ma być porządnie sprawdzony, wypadałoby dostarczyć także logi FRST z pozostałych kont po kolei (tzn. będąc na nich zalogowanym), o ile masz dostęp do tych kont.

Zadania pomyślnie wykonane. Na koniec: 1. Mini poprawka. Otwórz Notatnik i wklej w nim: S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Skasuj FRST i jego logi z folderu fff na Pulpicie. Następnie zastosuj jeszcze DelFix. 3. Do czytania na co uważać, bo problemy były konsekwencją uruchomienia sponsorowanego instalatora, bądź "downloadera" portalowego: KLIK.

Logi przecież miał usunąć DelFix... Jeśli tego nie zrobił, dokasuj ręcznie.

Czy po odinstalowaniu AVG jest jakaś poprawa w działaniu systemu? Fix FRST wykonany. 1. W Google Chrome pozostał drobny wtręt adware. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.ask.com. 2. Dokasowanie folderów odpadkowych po AVG. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\$AVG RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\Users\User\AppData\Local\Avg RemoveDirectory: C:\Users\User\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\User\AppData\Roaming\AVG Uruchom w taki sam sposób jak poprzednio. Przedstaw wynikowy fixlog.txt. 3. Raport FSS podaje, że brakuje klucza Windows Defender w systemie. Rekonstrukcja usługi. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system.

Nie dostarczyłeś pliku fixlog.txt z wynikami powtórzonej akcji, a dostarczone raporty FRST są stare z wczoraj. Zrób nowe logi FRST z chwili obecnej.

Ja natomiast sądzę, że to jest stary nieaktualny już odczyt MBAM. On wykrywa takie wpisy, których na 100% nie ma teraz w systemie, gdyż nie pokazuje ich FRST. W związku z tym wyczyść wszystkie logi MBAM, następnie zrób świeży skan.

Niestety to nie jest właściwy log z DelFix. Uruchomiłeś narzędzie ponownie, co nadpisuje poprzedni raport i już nie można sprawdzić co wcześniej narzędzie usuwało. Skasuj z dysku plik C:\delfix.txt. 1. Hitman wykrył drobnostki, tzn. ciasteczka i to wyczyść za pomocą programu. 2. Na koniec wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania czego unikać, gdyż teń chińczyk (notabene to nie jest wirus) został nabyty w podobny sposób z jakiegoś instalatora sponsorowanego bądź portalowanego "downloadera": KLIK.

Wszystko pomyślnie wykonane. Na koniec: 1. Skorzystaj z DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. 2. Do wykonania pełna aktualizacja Windows, obecnie stan fatalny: brak SP1, IE11 i reszty łat, co oznacza także zablokowanie aktualizacji. Do instalacji będzie około kilkaset łat z Windows Update. Platform: Windows 7 Professional (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

1. Nie przedstawiłeś raportu C:\delfix.txt z wynikami. 2. Na temat raportu Hitman jest powiedziane wyraźnie w instrukcji na forum:

Zadanie pomyślnie wykonane. Kolena porcja doczyszczania: 1. Usuń używane narzędzia za pomocą DelFix. 2. Zrób skan za pomocą HitmanPro i dostarcz wynikowy raport. PS. Nie zauważyłam, że dodałeś wątek z .NET Framework. To skomentuję potem.

Restart nastąpił wbrew założeniom, gdyż FRST miał problem z usunięciem odpadkowego folderu C:\Users\admin po skasowanym uszkodzonym koncie. Kolejne poprawki na wyniki szukania w rejestrze: Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\.apk DeleteKey: HKLM\SOFTWARE\Classes\.qbox DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\QQBrowser.File DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{16EE6530-8649-4F42-A9E4-F6A3295AF975} DeleteKey: HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\QQPCMgr_Setup.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\BugReport.exe DeleteKey: HKLM\SOFTWARE\Tencent DeleteKey: HKU\S-1-5-21-4227522351-578386421-3270892594-1002\Software\Tencent DeleteKey: HKU\S-1-5-21-4227522351-578386421-3270892594-1002\Software\Classes\.apk DeleteKey: HKU\S-1-5-21-4227522351-578386421-3270892594-1002\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{639B74F1-0594-432C-97C8-68C8C17A1E1D} DeleteKey: HKU\S-1-5-21-4227522351-578386421-3270892594-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.apk DeleteKey: HKU\S-1-5-18\Software\Tencent Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg delete "HKU\S-1-5-21-4227522351-578386421-3270892594-1002\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files\Tencent\QQPCMgr\11.3.17195.214\QQPCTray.exe" /f CMD: del /q "C:\Users\TomsonLBN\Desktop\Tu jest wsdzystko\M*.lnk" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Zaprezentuj wynikowy fixlog.txt.

Na zakończenie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Czysty rozruch wyłączył następujące wpisy (liczę wpisy ESET, jeśli został ponownie zainstalowany): ==================== Rejestr (filtrowane) =========================== HKLM\...\Run: [sysTrayApp] => C:\Program Files\IDT\WDM\sttray64.exe [1703424 2013-04-25] (IDT, Inc.) HKLM\...\Run: [DolbyTrayApp] => c:\program files (x86)\Dolby Advanced Audio v2\pcee4.exe [508144 2012-08-31] (Dolby Laboratories Inc.) HKLM\...\Run: [synTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2771184 2013-07-24] (Synaptics Incorporated) HKLM\...\Run: [egui] => C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe [4090824 2012-11-16] (ESET) HKLM\...\Run: [NvBackend] => C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe [2787264 2016-01-23] (NVIDIA Corporation) HKLM\...\Run: [shadowPlay] => "C:\Windows\system32\rundll32.exe" C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart HKLM-x32\...\Run: [Dolby Advanced Audio v2] => C:\Program Files (x86)\Dolby Advanced Audio v2\pcee4.exe [508144 2012-08-31] (Dolby Laboratories Inc.) HKLM-x32\...\Run: [uSB3MON] => C:\Program Files (x86)\Intel\Intel® USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe [292848 2013-04-26] (Intel Corporation) HKLM-x32\...\Run: [EEventManager] => C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe [1058400 2011-10-31] (SEIKO EPSON CORPORATION) HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => D:\Programy\Adobe\Reader\Reader_sl.exe [37296 2012-01-03] (Adobe Systems Incorporated) HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [843712 2012-01-02] (Adobe Systems Incorporated) HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [595480 2016-03-20] (Oracle Corporation) HKU\S-1-5-21-51339240-3279045181-1421070313-1000\...\Run: [EPLTarget\P0000000000000000] => C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIIME.EXE [283232 2012-02-29] (SEIKO EPSON CORPORATION) ==================== Usługi (filtrowane) ======================== R2 ABBYY.Licensing.FineReader.Sprint.9.0; C:\Program Files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [759048 2009-05-14] (ABBYY) R3 EasyAntiCheat; C:\Windows\SysWOW64\EasyAntiCheat.exe [245544 2015-08-07] (EasyAntiCheat Ltd) R2 ekrn; C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe [913184 2012-11-16] (ESET) R2 EpsonScanSvc; C:\Windows\system32\EscSvc64.exe [135824 2011-12-12] (Seiko Epson Corporation) R2 GfExperienceService; C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe [1163200 2016-01-23] (NVIDIA Corporation) R2 Intel® Capability Licensing Service Interface; C:\Program Files\Intel\iCLS Client\HeciServer.exe [731648 2013-02-13] (Intel® Corporation) [brak podpisu cyfrowego] S3 Intel® Capability Licensing Service TCP IP Interface; C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [820184 2013-02-13] (Intel® Corporation) R2 jhi_service; C:\Program Files (x86)\Intel\Intel® Management Engine Components\DAL\jhi_service.exe [169432 2013-05-17] (Intel Corporation) R2 NvNetworkService; C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [1879488 2016-01-23] (NVIDIA Corporation) R3 NvStreamNetworkSvc; C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe [6308288 2016-01-23] (NVIDIA Corporation) R2 NvStreamSvc; C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe [4812736 2016-01-23] (NVIDIA Corporation) S4 Origin Client Service; D:\Programy\Orgin\OriginClientService.exe [2104840 2016-02-02] (Electronic Arts) R2 PnkBstrA; C:\Windows\SysWOW64\PnkBstrA.exe [76152 2015-08-23] () R2 STacSV; C:\Program Files\IDT\WDM\STacSV64.exe [332800 2013-04-25] (IDT, Inc.) [brak podpisu cyfrowego] R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation) Wypadałoby teraz sprawdzić który z nich produkuje objawy. Czyli odwrotność akcji wykonaj, tzn. włączaj partiami wpisy (np. po jednym na raz) i restart systemu, aż wyłowisz który z wpisów jest problematyczny.

Fix pomyślnie wykonany. Czyszczenie systemu ukończone. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Czy problem występuje tylko i wyłącznie na tej jednej stronie (wtedy mógłby to być problem strony) i na której przeglądarce (Chrome czy IE, a może obu)?

Skoro i tak rozważasz deinstalację AVG, to przeprowadź to, by się upewnić, że program nie ponosi winy w tej kwestii. Druga sprawa, w logu są ślady uruchamiania checkdiska, co wskazuje, że były wykryte jakieś naruszenia w obszarze struktury plików: 2016-04-13 22:01 - 2016-04-13 22:01 - 00000000 __SHD C:\found.002 2016-04-13 20:20 - 2016-04-13 20:20 - 00000000 __SHD C:\found.001 1. Fix zakończył działanie na komendzie czyszczenia autoryzacji w Zaporze, czyli do powtórzenia nie przetworzony fragment plus dodatkowe drobnostki. Do Notatnika wklej: HKU\S-1-5-21-654294337-137298605-2700608432-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\User\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-654294337-137298605-2700608432-1000\...\Policies\Explorer: [] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] CMD: netsh advfirewall reset Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" EmptyTemp: Uruchom w taki sam sposób jak poprzednio. Przedstaw wynikowy fixlog.txt. 2. W Google Chrome nadal widać te same modyfikacje preferencji wprowadzone przez niepożądane instalacje Ask. Czy w ogóle wykonywałeś punkt relatywny do czyszczenia Chrome? 3. Zapomniałeś dołączyć też raport Farbar Service Scanner.

Temat przenoszę do działu Windows. Brak oznak infekcji, a powiadomienie o "ograniczeniach" GroupPolicyScripts widoczne w FRST to może być wynik tego, że otwierano interfejs gpedit.msc - to automatycznie zrzuca na dysk pusty katalog Scripts, detekcja w FRST jest uproszczona i oparta jedynie na wykryciu jego obecności a nie tego co zawiera. Dla świętego spokoju można usunąć te "ograniczenia", przy okazji i inne puste wpisy, co jednak nie powinno nic wnieść do sprawy. Z raportów FRST nie wynika nic szczególnego i nie za bardzo jest czym się zajmować w kwestii "deinstalacji" - niepotrzebne gry to zadanie dla użytkownika, gdyż ja nie wiem z czego on korzysta. 1. Jeśli chodzi o "zamulanie", to upewnij się że problemem nie jest Avast. Testowo go odinstaluj, by sprawdzić rezultaty. Zawsze będzie go można przywrócić na miejsce. 2. To Windows który miał lub nadal ma scrackowaną aktywację. Charakterystyczne modyfikacje pliku Hosts oraz błędy w Dzienniku zdarzeń. Nie jestem pewna czy modyfikacja w obszarze plików Windows nadal ma miejsce, gdyż błędy w Dzienniku są z marca i stycznia, a w raporcie głównym FRST pliki User32.dll nie wykazują cech modyfikacji. Może częściowo działanie aktywatora już zdjęto. Dziennik Aplikacja: ================== Error: (03/13/2016 08:02:34 PM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x00000000. Error: (03/13/2016 08:02:34 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Wystąpił błąd aktywacji licencji (slui.exe), kod błędu: 0x80070426

Adux, tu nie ma co szukać infekcji. A jedyne co można wywnioskować z FRST, to że uruchamiał się checkdisk i "obcinał" coś: 2016-04-08 14:55 - 2016-04-08 14:55 - 00000000 __SHD C:\found.000 Temat przenoszę na diagnostykę do działu Hardware. 1. Dostarcz dane wymagane działem: KLIK. 2. Dostarcz też pliki DMP lub już ich zdebugowaną postać: KLIK.

O dziwo w logach nic nowego nie widać. Czy te znaleziska MBAM zostały już usunięte za pomocą programu? I drobna mini-poprawka. Otwórz Notatnik i wklej w nim: S3 AdobeARMservice; "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe" [X] Task: {A94DB9BA-1CDD-47C6-9D63-446895414404} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe CMD: del /q C:\Users\Lelo\Downloads\a4YrGYZ.htm CMD: del /q C:\Users\Lelo\Downloads\8fvq34w5.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

Prawie wszystko wykonane. Nie przeprowadziłeś resetu Firefox tylko go odinstalowałeś, co i tak pozostawiło na dysku kompletne profile przeglądarki z adware - w przyszłości nowa instalacja Firefox byłaby od razu zanieczyszczona. Należy usunąć wszystkie pozostałości po FF. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [ QQPCTray] => "C:\Program Files\Tencent\QQPCMgr\11.3.17195.214\QQPCTray.exe" /regrun HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKU\S-1-5-21-4227522351-578386421-3270892594-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE07&ocid=UE07DHP Toolbar: HKLM - Brak nazwy - {0124123D-61B4-456f-AF86-78C53A0790C5} - Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\TomsonLBN\AppData\Local\Mozilla RemoveDirectory: C:\Users\TomsonLBN\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\admin RemoveDirectory: C:\Users\TEMP RemoveDirectory: C:\Users\TEMP.ADMIN-KOMPUTER CMD: del /q C:\Users\TomsonLBN\AppData\Local\{DA82A928-648C-4A65-9494-6355D9042397} CMD: del /q "C:\Users\TomsonLBN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\G*.lnk" CMD: del /q "C:\Users\TomsonLBN\Desktop\Tu jest wsdzystko\MioMore Desktop 7.50.lnk" CMD: del /q "C:\Users\TomsonLBN\Desktop\Tu jest wsdzystko\Mozilla Firefox.lnk" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Pokaż wynikowy fixlog.txt. 2. Uruchom FRST, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log. QQPCMgr;Tencent

Fix pomyślnie przetworzony. Teraz na wszelki wypadek zrób jeszcze skan za pomocą HitmanPro i dostarcz wynikowy raport. Hitman wykryje na pewno jako "podejrzany plik" FRST, ale to fałszywy alarm.