Wyskakujące okno

[Avaloon]

Witam

 

Po ostatniej aktualizacji systemu Windows 10 pojawił się u mnie problem z wyskakującym oknem.

Dokładnie nie wiem jakim, bo pojawia się na 1/4 ekranu na ułamek sekundy z różną częstotliwością.Ostatnio częstotliwość wyskakiwania się zwiększyła przez co praca staje się uciążliwa

Miał ktoś podobny problem lub wie jak się tego pozbyć?

 

z góry dziękuje za wszystkie sugestie

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt.txt

[picasso]

W systemie widzę składniki adware: BingSvc (w starcie), GamerForest (w Harmonogramie zadań + sterownik) oraz różne inne odpadki. Nie wiem czy jest to powiązane z opisywanym zjawiskiem. Wstępnie:

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware, stare wersje, zbędniki: Adobe Flash Player 18 NPAPI, GamerForest, HP Customer Participation Program 14.0, Java 7 Update 79 (64-bit), Java SE Development Kit 7 Update 79 (64-bit), McAfee Security Scan Plus, Spybot - Search & Destroy, WebStorage. Spybot jest przestarzały i przez nikogo już niepolecany.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\...\Run: [bingSvc] => C:\Users\stan\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-29] (© 2015 Microsoft Corporation)
HKLM-x32\...\Run: [] => [X]
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
BootExecute: autocheck autochk * sdnclean64.exe
R2 win8gfore; C:\WINDOWS\system32\Drivers\win8gfore64.sys [44152 2015-07-14] (CodeWatch Tech)
Task: {1342A886-F29C-4DAF-8723-1DEAB7EE7B9A} - System32\Tasks\GamerForest Updater => C:\Users\stan\AppData\Local\GamerForest\updater.exe [2015-08-25] (GamerForest)
Task: {58E48A2C-7A4F-4C9D-A2E8-DEC3BD6E0941} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File Task: {5ABD0269-2C73-41F4-AEDB-AA2DA06868D4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File Task: {835E0373-83E0-45F0-9D28-80C55ECECF5A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File Task: {8DD37686-ED32-4360-90AF-C49DF6902383} - System32\Tasks\GamerForest Support => C:\Users\stan\AppData\Local\GamerForest\gfore_run.exe [2015-08-25] (GamerForest)
Task: {905F7E86-77E7-4F9E-9A00-74C37F812B7B} - System32\Tasks\ASUS Smart Gesture Launcher => C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPLauncher.exe
Task: {91691E3A-B22B-4968-A324-23AE6068CFF1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File Task: {9A4FE020-29D9-4426-9B59-79578BDB4F3A} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe
Task: {A14F99F7-5978-4A94-BE70-0345FFFC97BB} - System32\Tasks\UpdateTask => C:\Users\stan\AppData\Local\{C341F~1\UNINST~1.EXE
Task: {C3810534-A781-462D-86EF-8C5540D7FC9F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File Task: C:\WINDOWS\Tasks\GamerForest Support.job => C:\Users\stan\AppData\Local\GAMERF~1\gfore_run.exe
Task: C:\WINDOWS\Tasks\GamerForest Updater.job => C:\Users\stan\AppData\Local\GamerForest\updater.exe
Task: C:\WINDOWS\Tasks\UpdateTask.job => C:\Users\stan\AppData\Local\{C341F~1\UNINST~1.EXE
FirewallRules: [{33914543-F8E0-4BA8-8ECB-8D1DC263F103}] => (Allow) C:\Users\stan\AppData\Local\Chromium\Application\chrome.exe
CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl
CHR DefaultSearchURL: Default -> hxxps://uk.search.yahoo.com/search?fr=mcafee&type=C211GB885D20151111&p={searchTerms}
CHR DefaultSearchKeyword: Default -> mcafee
CHR HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://uk.search.yahoo.com/?fr=hp-ddc-bd&type=bl-bir-sw-rhb-36__alt__ddc_dsssyc_bd_com
HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=SK2M&ocid=SK2MDHP&osmkt=en-ww
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://uk.search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-sw-rhb-36__alt__ddc_dss_bd_com&p={searchTerms}
SearchScopes: HKLM -> OldSearch URL = hxxp://uk.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_kmpswt_15_35&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuzztBtCzytAyE0DtByD0DtAzyzy0A0E0CtN0D0Tzu0StCtAtAtBtN1L2XzutAtFtCtBtFyDtFtAtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SzzzytB0EtBzz0C0DtGyDyB0F0DtGyEyB0DtCtG0AyByCtBtG0E0EyByBzyyC0Fzy0DyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzyyEyE%26cr%3D632115577%26a%3Dwncy_kmpswt_15_35%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://uk.search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-sw-rhb-36__alt__ddc_dss_bd_com&p={searchTerms}
SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://uk.search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-sw-rhb-36__alt__ddc_dss_bd_com&p={searchTerms}
SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> OldSearch URL = hxxp://uk.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_kmpswt_15_35&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuzztBtCzytAyE0DtByD0DtAzyzy0A0E0CtN0D0Tzu0StCtAtAtBtN1L2XzutAtFtCtBtFyDtFtAtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SzzzytB0EtBzz0C0DtGyDyB0F0DtGyEyB0DtCtG0AyByCtBtG0E0EyByBzyyC0Fzy0DyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzyyEyE%26cr%3D632115577%26a%3Dwncy_kmpswt_15_35%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {03CB0EE3-BEF8-4A9E-A33A-B469F11029F5} URL = hxxp://search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-dd__alt__ddc_dss_bd_com&p={searchTerms}
SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://uk.search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-sw-rhb-36__alt__ddc_dss_bd_com&p={searchTerms}
SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.bing.com/search?FORM=SK2MDF&PC=SK2M&q={searchTerms}&src=IE-SearchBox
SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {39367A88-20F2-4007-88EE-4E7C745B4E6A} URL = hxxps://uk.search.yahoo.com/search?fr=mcafee&type=C011GB885D20150825&p={searchTerms}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpybotPostWindows10UpgradeReInstall /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SDTray /f
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Mozilla
C:\Users\stan\AppData\Local\Chromium
C:\Users\stan\AppData\Local\GamerForest
C:\Users\stan\AppData\Local\Microsoft\BingSvc
C:\Users\stan\AppData\Local\Mozilla
C:\Users\stan\AppData\Roaming\Mozilla
C:\Users\stan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Chromium.lnk
C:\Users\stan\sinister-2-pol-6410081.exe
C:\WINDOWS\System32\Drivers\win8gfore64.sys
C:\WINDOWS\system32\Drivers\etc\hosts.*.backup
Hosts:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy objawy ustąpiły.

[Avaloon]

objawy ustapily wielkie dzieki

FRST.txt

Fixlog.txt

[picasso]

Wprawdzie poprzednie zadania wykonane, ale w międzyczasie pojawiły się nowe obiekty adware (niejaki Search Manager w Google Chrome). Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CHR DefaultSearchURL: Default -> hxxp://srch.bar/{searchTerms}
CHR DefaultSuggestURL: Default -> hxxp://srch.bar/?s={searchTerms}
CHR HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bahkljhhdeciiaodlkppoonappfnheoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bahkljhhdeciiaodlkppoonappfnheoi] - hxxps://clients2.google.com/service/update2/crx
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://uk.search.yahoo.com/yhs/web?hspart=itm&hsimp=yhs-001&type=jmb_nrssi_16_11&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dgb%26pa%3DJoomborio%26cd%3D2XzuyEtN2Y1L1QzuzztDtCzytAyE0DtByD0DtA0Azy0A0E0CtN0D0Tzu0StCyDyEtDtN1L2XzutAtFtCzytFtAtFtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2StA0F0BtA0E0Bzz0EtGtAtD0BzztGtByD0C0DtGtC0B0ByDtGzyyE0CtDyDyDyEtAtBzy0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEzy%26cr%3D173393200%26a%3Djmb_nrssi_16_11%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome
SearchScopes: HKLM -> {73cd434e-8e1e-46b6-bb8d-7dd935140717} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=itm&hsimp=yhs-001&type=jmb_nrssi_16_11&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3DJoomborio%26cd%3D2XzuyEtN2Y1L1QzuzztDtCzytAyE0DtByD0DtA0Azy0A0E0CtN0D0Tzu0StCyDyEtDtN1L2XzutAtFtCzytFtAtFtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2StA0F0BtA0E0Bzz0EtGtAtD0BzztGtByD0C0DtGtC0B0ByDtGzyyE0CtDyDyDyEtAtBzy0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEzy%26cr%3D173393200%26a%3Djmb_nrssi_16_11%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {73cd434e-8e1e-46b6-bb8d-7dd935140717} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=itm&hsimp=yhs-001&type=jmb_nrssi_16_11&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3DJoomborio%26cd%3D2XzuyEtN2Y1L1QzuzztDtCzytAyE0DtByD0DtA0Azy0A0E0CtN0D0Tzu0StCyDyEtDtN1L2XzutAtFtCzytFtAtFtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2StA0F0BtA0E0Bzz0EtGtAtD0BzztGtByD0C0DtGtC0B0ByDtGzyyE0CtDyDyDyEtAtBzy0CtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyByEzy%26cr%3D173393200%26a%3Djmb_nrssi_16_11%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
S2 0169341459181846mcinstcleanup; C:\WINDOWS\TEMP\016934~1.EXE -cleanup -nolog [X]
S2 jhi_service; "C:\Program Files (x86)\Intel\Intel® Management Engine Components\DAL\jhi_service.exe" [X]
C:\Program Files (x86)\Java
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\Oracle
C:\ProgramData\Spybot - Search & Destroy
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
C:\Users\stan\.oracle_jre_usage
C:\Users\stan\AppData\Roaming\dlg
C:\Users\stan\AppData\Roaming\Sun
C:\Users\stan\Desktop\Goodgame Empire.lnk
C:\WINDOWS\951d4bd064ca6b979e1db2f42a3b5e85.exe
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny plik fixlog.txt.

 

2. W Google Chrome:

• Zresetuj synchronizację (o ile włączona), punkt dwa: KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj Search Manager, o ile nadal będzie widoczny po użyciu w/w skryptu.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

3. Zrób nowy log FRST z opcji Skanuj (Scan), tym razem poproszę też o Addition. Dołącz też plik fixlog.txt.

[Avaloon]

witam,

 

W załączeniu wszystkie pliki.

Ostatnio pojawił się u mnie nowy problem ze stroną cda.pl obraz zwalnia jakby miejscami odtwarzał poklatkowo.Nie wiem czy to wina samej strony czy komputera .

 

pozdrawiam

Addition.txt

FRST.txt

Fixlog.txt

[picasso]

Wszystko zrobione. Jeszcze mini poprawki. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v PCSpeedUp /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AdobeAAMUpdater-1.0 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AdobeCS6ServiceManager /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SDTray /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Acrobat Assistant 8.0" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Pokaż wynikowy fixlog.txt.

 

 

 

Ostatnio pojawił się u mnie nowy problem ze stroną cda.pl obraz zwalnia jakby miejscami odtwarzał poklatkowo.Nie wiem czy to wina samej strony czy komputera .

W raportach nie widać przyczyny. Czy problem występuje także po wyłączeniu osłon McAfee?

[Avaloon]

Tak również występuje jak wyłącze McAfee

Fixlog.txt

[picasso]

Fix pomyślnie wykonany. Czyszczenie systemu ukończone. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

 

Ostatnio pojawił się u mnie nowy problem ze stroną cda.pl obraz zwalnia jakby miejscami odtwarzał poklatkowo.Nie wiem czy to wina samej strony czy komputera .

Czy problem występuje tylko i wyłącznie na tej jednej stronie (wtedy mógłby to być problem strony) i na której przeglądarce (Chrome czy IE, a może obu)?

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso