Skocz do zawartości

jessica

Użytkownicy
  • Liczba zawartości

    3 093
  • Rejestracja

  • Ostatnia wizyta

Odpowiedzi dodane przez jessica


  1. Jest infekcja SOUNDMIXER!

     

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKU\S-1-5-21-3849012455-3380392251-1068259123-1000\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Deadman\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Deadman\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
    RemoveDirectory: C:\Users\Deadman\AppData\Roaming\Microsoft\SoundMixer
    Task: {75376322-9251-49FD-A80A-9A688BD23979} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => C:\WINDOWS\system32\StartupCheck.vbs [392 2018-05-07] () [Brak podpisu cyfrowego]
    FF user.js: detected! => C:\Users\Deadman\AppData\Roaming\Mozilla\Firefox\Profiles\97cgcs32.default\user.js [2019-10-25]
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl]
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    Napisz, czy tytułowy problem znikł?

    -------------------------------------------------

    Cytat

     

    Error: (01/19/2020 06:09:34 PM) (Source: Ntfs) (EventID: 55) (User: ZARZĄDZANIE NT)
    Description: Wykryto uszkodzenie w strukturze systemu plików woluminu G:.

    W strukturze indeksu systemu plików znaleziono uszkodzenie. Numer odwołania do pliku: 0x5000000000005. Nazwa pliku: „<nie można określić nazwy pliku>”. Atrybut uszkodzonego indeksu: „:$I30:$INDEX_ALLOCATION”. Lokalizacja bloku uszkodzonego indeksu: VCN 0x0, LCN 0xffffffffffffffff. Uszkodzenie rozpoczyna się od przesunięcia 1072 wewnątrz bloku indeksu.

     

    chodzi Ci o to?

    Cytat

    czy można naprawić problem dotyczący do dysku G: opisany w pliku Addition?

    Nawet nie wiem, w którym dziale forum powinieneś założyć temat,

    czy w https://www.fixitpc.pl/forum/59-windows-10/

    czy w https://www.fixitpc.pl/forum/43-hardware/

     

    jessi


  2. Moim zdaniem McAfee nie jest Ci w ogóle potrzebne.

     

    Masz infekcję SOUNDMIXER!

     

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKU\S-1-5-21-280685973-2141685113-2535121551-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA
    HKU\S-1-5-21-280685973-2141685113-2535121551-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
    SearchScopes: HKU\S-1-5-21-280685973-2141685113-2535121551-1001 -> {4AE4B81F-EA79-410B-88FA-789C5935CF5B} URL = hxxp://www.nav-pl.com/search?q={searchTerms}
    Edge HomeButtonPage: HKU\S-1-5-21-280685973-2141685113-2535121551-1001 -> hxxp://www.nav-pl.com/
    CHR StartupUrls: Profile 1 -> "hxxp://www.istartsurf.com/?type=hp&ts=1447441855&z=de7f12586f3c71fffda6ddfg3z4z8m6zfz5g1w5wdb&from=cor&uid=SAMSUNGXHM321HI_S26VJ9FZ910999","hxxp://www.google.com/","","hxxp://www.searchnu.com/419?appid=0","www.wp.pl/?src01=dp220140816","hxxp://www.sweet-page.com/?type=hp&ts=1408300007&from=sof&uid=SAMSUNGXHM321HI_S26VJ9FZ910999","www.wp.pl/?src01=dp220140826","hxxp://www.google.com"
    CHR Session Restore: Profile 1 -> [funkcja włączona]
    CHR Extension: (Ask Web Search) - C:\Users\smiet\AppData\Local\Google\Chrome\User Data\Default\Extensions\eocnnoackodjagdbaoddhjbkpjabimed [2019-12-20]
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    FirewallRules: [{7308D8DB-E971-4C53-BD8B-A754D3466676}] => (Allow) C:\Program Files\Common Files\McAfee\MMSSHost\MMSSHost.exe Brak pliku
    FirewallRules: [{6C52755C-B863-407B-B9F7-EC43D54E2B63}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe Brak pliku
    HKLM\...\Policies\Explorer: [HideSCAHealth] 1
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    Task: {BB005E04-C357-43E2-BB73-DD381AA74FE9} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary <==== UWAGA
    S3 ClientAnalyticsService; "C:\Program Files\Common Files\McAfee\ClientAnalytics\Legacy\McClientAnalytics.exe" [X]
    S2 McAPExe; "C:\Program Files\Common Files\McAfee\VSCore_19_7\McApExe.exe" [X]
    S3 McAWFwk; c:\PROGRA~1\COMMON~1\mcafee\actwiz\mcawfwk.exe [X]
    S2 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\3.2.117.0\\McCSPServiceHost.exe" [X]
    S3 mfefire; "C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe" [X]
    S2 mfemms; "C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe" [X]
    S3 mfevtp; "C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe" [X]
    S2 ModuleCoreService; "C:\Program Files\Common Files\McAfee\ModuleCore\ModuleCoreService.exe" [X]
    S2 PEFService; "C:\Program Files\Common Files\McAfee\PEF\CORE\PEFService.exe" [X]
    S3 H2OFFT; \SystemRoot\System32\drivers\H2OFFT64.sys [X]
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S
    W FRST kliknij na Fix (NAPRAW).

     

    Napisz, czy tytułowy problem znikł?

     

    jessi


  3. Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKU\S-1-5-21-2396012584-1682684127-3418686497-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nav-pl.com/
    SearchScopes: HKU\S-1-5-21-2396012584-1682684127-3418686497-1001 -> DefaultScope {4AE4B81F-EA79-410B-88FA-789C5935CF5B} URL = hxxp://www.nav-pl.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2396012584-1682684127-3418686497-1001 -> {4AE4B81F-EA79-410B-88FA-789C5935CF5B} URL = hxxp://www.nav-pl.com/search?q={searchTerms}
    CHR HomePage: Default -> hxxp://www.nav-pl.com/
    CHR DefaultSearchURL: Default -> hxxp://www.nav-pl.com/search?q={searchTerms}
    C:\Users\KOMPUTER\Desktop\xznfxcqshajyhj.txt
    FirewallRules: [{3ED80FAB-BC95-4BC6-BDD2-6AFF63E95B63}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.112.449.0_x86__zpdnekdrzrea0\Spotify.exe Brak pliku
    FirewallRules: [{C371E83D-D1D2-4E81-B9EC-D55616BF45B9}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.112.449.0_x86__zpdnekdrzrea0\Spotify.exe Brak pliku
    FirewallRules: [{E9F45CFF-49AF-4AE0-8484-4A97F82F4546}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.112.449.0_x86__zpdnekdrzrea0\Spotify.exe Brak pliku
    FirewallRules: [{55EDFCA9-FA41-401D-BF59-A2A10097AAB1}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.112.449.0_x86__zpdnekdrzrea0\Spotify.exe Brak pliku
    FirewallRules: [{1B884E98-2D62-436B-A242-5D803E0B7582}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.112.449.0_x86__zpdnekdrzrea0\Spotify.exe Brak pliku
    FirewallRules: [{8F88C6F9-647F-4E42-A523-82484280E060}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.112.449.0_x86__zpdnekdrzrea0\Spotify.exe Brak pliku
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    FirewallRules: [{9BC5EC67-18EA-4102-9D2F-DD6A566180D0}] => (Allow) %systemroot%\system32\alg.exe Brak pliku
    FirewallRules: [{8D58F44C-BF7C-49E7-91F1-3557DE8E2930}] => (Allow) %systemroot%\system32\alg.exe Brak pliku
    FirewallRules: [{F2734AFE-9122-47FC-B050-7357466FA206}] => (Allow) %systemroot%\system32\alg.exe Brak pliku
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    Zrób nowe logi FRST.

     

    jessi


  4. Nie widzę tu żadnej infekcji, więc tylko kosmetyka:

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    HKU\S-1-5-21-9491765-2927453260-2743771413-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web-pl.com/
    SearchScopes: HKU\S-1-5-21-9491765-2927453260-2743771413-1001 -> DefaultScope {22B1715F-FD64-41DE-AC67-27233CD4DB06} URL = hxxp://www.web-pl.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-9491765-2927453260-2743771413-1001 -> {22B1715F-FD64-41DE-AC67-27233CD4DB06} URL = hxxp://www.web-pl.com/search?q={searchTerms}
    CHR HomePage: Default -> hxxp://www.web-pl.com/
    CHR StartupUrls: Default -> "hxxp://google.pl/"
    CHR DefaultSearchURL: Default -> hxxp://www.web-pl.com/search?q={searchTerms}
    CHR DefaultSearchKeyword: Default -> szukaj
    CHR Notifications: Default -> hxxps://hellopushworld.com; hxxps://www1.lucienmann.pro
    S2 AMDRyzenMasterDriver; \??\C:\Program Files\AMD\Performance Profile Client\RyzenMaster\AMDRyzenMasterDriver.sys [X]
    C:\Users\ziomi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CNext.lnk
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi


  5. --> tajpan85

    Jest infekcja SoundMixer !

     

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKU\S-1-5-21-586042850-1794787906-4032504049-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA
    HKU\S-1-5-21-586042850-1794787906-4032504049-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist " ( start /MIN "" " & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    HKU\S-1-5-21-586042850-1794787906-4032504049-1001\...\Run: [ASRock A-Tuning] => [X]
    ShortcutTarget: BackupRemind.lnk -> C:\Program Files (x86)\Wondershare\dr.fone toolkit for Android\Addins\AndroidBackupRestore\BackupRemind.exe (Brak pliku)
    S2 WsDrvInst; C:\Program Files (x86)\Wondershare\dr.fone toolkit for Android\Library\DriverInstaller\DriverInstall.exe [X]
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    Napisz, czy problem znikł?

     

    jessi


  6. W logach nie widzę niczego podejrzanego.

     

    W logu Addition.txt jest wzmianka o o niespodziewanych wyłączeniach, ale nie widzę tam przyczyny tych wyłączeń.

     

    Drobna kosmetyka:

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.

    Spoiler

    Otworzy się Notatnik - wklej do niego:
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Plants vs Zombies.lnk
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi


  7. Jest infekcja SOUNDMODULE!

     

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKU\S-1-5-21-1605477994-2647608232-1457068919-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA
    HKU\S-1-5-21-1605477994-2647608232-1457068919-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist "C:\Users\Tomek\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" ( start /MIN "" "C:\Users\Tomek\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
    RemoveDirectory: C:\Users\Tomek\AppData\Roaming\Microsoft\SoundModule
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    SearchScopes: HKU\S-1-5-21-1605477994-2647608232-1457068919-1001 -> DefaultScope {76C2506C-2681-4728-AA8B-2E612DBC802A} URL =
    SearchScopes: HKU\S-1-5-21-1605477994-2647608232-1457068919-1001 -> {801495F2-8FB7-4481-A3C6-59B7F9453BA9} URL =
    OPR Extension: (Font Finder) - C:\Users\Tomek\AppData\Roaming\Opera Software\Opera Stable\Extensions\lochgnflibdkeifofbnpoocomcpgokcn [2019-11-12]
    S4 UEIPSvc; "C:\Program Files\Acer\User Experience Improvement Program\Framework\UBTService.exe" [X]
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ByteFence Anti-Malware\ByteFence Anti-Malware.lnk
    RemoveDirectory: C:\Program Files\ByteFence
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVAST Software\Avast Free Antivirus.lnk
    RemoveDirectory: C:\Program Files\AVAST Software
    C:\Users\Kamil\Desktop\SIMSY\The Sims 3.lnk
    C:\Users\Kamil\Desktop\SIMSY\The Sims 4.lnk
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    Napisz, czy problem znikł?

     

    jessi


  8. Są logi FRST, więc je oceniam pod względem "wirusowym".

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    S3 mracdrv; C:\Windows\System32\drivers\mracdrv.sys [6955760 2018-12-01] (Mail.Ru LLC -> LLC Mail.Ru)
    S3 mracsvc; C:\Windows\System32\mracsvc.exe [7690000 2018-12-01] (Mail.Ru LLC -> LLC Mail.Ru)
    C:\Windows\System32\drivers\mracdrv.sys
    C:\Windows\System32\mracsvc.exe
    FirewallRules: [TCP Query User{3B686D66-0F48-410A-86B2-16E24678D005}C:\users\ppp\appdata\local\mycomgames\mycomgames.exe] => (Allow) C:\users\ppp\appdata\local\mycomgames\mycomgames.exe (Mail.Ru, LLC -> MY.COM B.V.)
    FirewallRules: [UDP Query User{4DFCC528-252A-41D7-A07D-2908375DBCCB}C:\users\ppp\appdata\local\mycomgames\mycomgames.exe] => (Allow) C:\users\ppp\appdata\local\mycomgames\mycomgames.exe (Mail.Ru, LLC -> MY.COM B.V.)
    FirewallRules: [TCP Query User{D859D99D-EC60-4FB4-B2E4-7AD9EFA9479B}C:\users\ppp\appdata\local\mycomgames\mycomgames.exe] => (Allow) C:\users\ppp\appdata\local\mycomgames\mycomgames.exe (Mail.Ru, LLC -> MY.COM B.V.)
    FirewallRules: [UDP Query User{3E07F3B0-3C7C-4F98-8315-62A7D8092F04}C:\users\ppp\appdata\local\mycomgames\mycomgames.exe] => (Allow) C:\users\ppp\appdata\local\mycomgames\mycomgames.exe (Mail.Ru, LLC -> MY.COM B.V.)
    S2 McAfee WebAdvisor; "C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe" [X]
    RemoveDirectory: C:\Program Files\McAfee
    RemoveDirectory: C:\Program Files\Common Files\McAfee
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    C:\Users\ppp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VirtualDJ\VirtualDJ 2018.lnk
    InternetURL: C:\Users\ppp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\My.com Games\Warface My.Com\Warface.url -> URL: mailrugames://play/13.2000076
    InternetURL: C:\Users\ppp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\My.com Games\Warface My.Com\Удалить Warface.url -> URL: mailrugames://uninstall/13.2000076
    FF Extension: (Brak nazwy) - C:\Program Files\McAfee\SiteAdvisor\saffplg.xpi [nie znaleziono]
    Task: {C68CA1FC-0AA4-4012-8099-89ED5E5128AD} - System32\Tasks\{69B898C8-DAD3-46EB-AD44-07EB00222CB2} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\TeamSpeak 3 Client\package_inst.exe" -d C:\Users\ppp\Downloads -c "C:\Users\ppp\Downloads\soundboard-1.1b1-win32.ts3_plugin"
    Task: {4BF38852-95AE-40DC-81D1-FDC198951A5E} - System32\Tasks\{C071E08B-E301-4BAF-BEF8-E9B66A84C6B5} => C:\Windows\system32\pcalua.exe -a C:\Users\ppp\Downloads\FacebookGameroom.exe -d C:\Users\ppp\Downloads
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    ================================

    Cytat

    Error: (01/01/2020 07:36:46 PM) (Source: atapi) (EventID: 11) (User: )
    Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort0.

    http://www.fixitpc.pl/topic/5553-blad-sterownik-wykryl-blad-kontrolera-na-deviceharddiskxdrx-i-jego-interpretacja/
    http://www.fixitpc.pl/forum/43-hardware/

     

    ------------------------------------

    Teraz temat zostawiam dla fachowców z tego działu forum.

     

    jessi


  9. za wcześnie odpowiedziałeś wróć najpierw do mojego poprzedniego postu, a ja zaraz podam tu, w tym poście dalsze usuwanie

     

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKU\S-1-5-21-968159076-530178348-4023363429-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA
    HKU\S-1-5-21-968159076-530178348-4023363429-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
    Task: {A5697C56-41F5-402B-97CE-5A6A972322F5} - System32\Tasks\ByteFence => C:\Program Files\ByteFence\ByteFence.exe [3917128 2019-11-20] (Byte Technologies LLC -> Byte Technologies LLC) <==== UWAGA
    RemoveDirectory: C:\Program Files\ByteFence
    R2 ByteFenceService; C:\Program Files\ByteFence\ByteFenceService.exe [160584 2019-11-20] (Byte Technologies LLC -> Byte Technologies LLC) <==== UWAGA
    R2 rtop; c:\program files\bytefence\rtop\bin\rtop_svc.exe [297288 2019-12-02] (Byte Technologies LLC -> Byte Technologies LLC.) <==== UWAGA
    2019-12-02 10:06 - 2019-12-02 10:06 - 000001041 _____ C:\Users\Kamil\Desktop\ByteFence Anti-Malware.lnk
    2019-12-02 10:06 - 2019-12-02 10:06 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ByteFence Anti-Malware
    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ByteFence
    DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ByteFence
    HOSTS:
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    Task: {E61C4C3C-7354-4184-B6DB-4004358CE7EB} - System32\Tasks\Microsoft\Windows\Maintenance\InstallWinSAT => C:\Windows\system32\Maintenance.vbs [1131 2018-07-21] () [Brak podpisu cyfrowego]
    BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> A:\bin\ssv.dll => Brak pliku
    HKU\S-1-5-21-968159076-530178348-4023363429-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.global-pl.com/
    HKU\S-1-5-21-968159076-530178348-4023363429-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
    SearchScopes: HKU\S-1-5-21-968159076-530178348-4023363429-1001 -> DefaultScope {19FB89A4-9E8A-44F5-8046-CED817A05382} URL = hxxp://www.global-pl.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-968159076-530178348-4023363429-1001 -> {19FB89A4-9E8A-44F5-8046-CED817A05382} URL = hxxp://www.global-pl.com/search?q={searchTerms}
    Toolbar: HKLM-x32 - Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\Microsoft\BingBar\7.1.362.0\BingExt.dll [2012-02-13] (Microsoft Corporation -> Microsoft Corporation.)
    BHO-x32: Bing Bar Helper -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> C:\Program Files (x86)\Microsoft\BingBar\7.1.362.0\BingExt.dll [2012-02-13] (Microsoft Corporation -> Microsoft Corporation.)
    FF Plugin-x32: @java.com/DTPlugin,version=10.51.2 -> A:\bin\dtplugin\npDeployJava1.dll [Brak pliku]
    FF Plugin-x32: @java.com/JavaPlugin,version=10.51.2 -> A:\bin\plugin2\npjp2.dll [Brak pliku]
    S3 EasyAntiCheat; C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe [X]
    S2 GamingApp_Service; "D:\Gaming APP\GamingApp_Service.exe" [X]
    S2 GamingHotkey_Service; D:\Gaming APP\GamingHotkey_Service.exe [X]
    S3 NTIOLib_MBAPI; \??\D:\Gaming APP\Lib\NTIOLib_X64.sys [X]
    FirewallRules: [TCP Query User{BEEF588C-28C3-4016-99A0-B3A68B4B61B2}C:\users\kamil\appdata\local\mycomgames\mycomgames.exe] => (Allow) C:\users\kamil\appdata\local\mycomgames\mycomgames.exe Brak pliku
    FirewallRules: [UDP Query User{4D589828-8706-4E7D-933A-C5CEF6E1BAB4}C:\users\kamil\appdata\local\mycomgames\mycomgames.exe] => (Allow) C:\users\kamil\appdata\local\mycomgames\mycomgames.exe Brak pliku
    FirewallRules: [{D431779C-FA34-4F57-B77F-C9BE6802808C}] => (Block) C:\users\kamil\appdata\local\mycomgames\mycomgames.exe Brak pliku
    FirewallRules: [{C988A2C4-75C8-46E8-A0DD-721D9910F935}] => (Block) C:\users\kamil\appdata\local\mycomgames\mycomgames.exe Brak pliku
    FirewallRules: [{6333CD2F-CA06-4DAB-B80E-B21DD09535C3}] => (Allow) C:\Program Files (x86)\Origin Games\The Sims 4\Game\Bin_LE\TS4.exe Brak pliku
    FirewallRules: [{71E4C671-FD0E-4C8B-9855-1B246AAB7AD3}] => (Allow) C:\Program Files (x86)\Origin Games\The Sims 4\Game\Bin_LE\TS4.exe Brak pliku
    FirewallRules: [{E916B9B7-FB62-4298-B63F-062306AD0D3C}] => (Allow) C:\Program Files (x86)\Origin Games\The Sims 4\Game\Bin\TS4_x64.exe Brak pliku
    FirewallRules: [{5BCDD3A3-0AB6-466B-843E-2145AE94EDBF}] => (Allow) C:\Program Files (x86)\Origin Games\The Sims 4\Game\Bin\TS4_x64.exe Brak pliku
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    Albo zrób nowe logi FRST, albo napisz, czy problem znikł?

     

    jessi


  10. Hmm, nie widzę tu żadnej infekcji.

     

    Tylko kosmetyka:

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    S3 cpuz148; \??\C:\WINDOWS\temp\cpuz148\cpuz148_x64.sys [X]
    Task: {A5552165-B160-47E9-A98D-B17374043F2B} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinCDEmu\WinCDEmu Settings.lnk
    C:\Users\Błażej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
    C:\Users\Błażej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DXGL\Third-party Credits.lnk
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi


  11. Nie widzę tu żadnej infekcji.

     

    Tylko kosmetyka:

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    GroupPolicy: Ograniczenia ? <==== UWAGA
    S0 edevmon; system32\DRIVERS\edevmon.sys [X]
    S3 MDA_NTDRV; \??\C:\Windows\system32\MDA_NTDRV.sys [X]
    FirewallRules: [TCP Query User{17DA4C27-264B-48B6-872A-6C804288AC40}D:\sdi_r1809\sdi_x64_r1809.exe] => (Allow) D:\sdi_r1809\sdi_x64_r1809.exe Brak pliku
    FirewallRules: [UDP Query User{746A2703-014D-4FAB-A6A7-B6CF6926EB63}D:\sdi_r1809\sdi_x64_r1809.exe] => (Allow) D:\sdi_r1809\sdi_x64_r1809.exe Brak pliku
    FirewallRules: [TCP Query User{E61F9866-1787-4F90-B2D8-A0CF14CA39A4}C:\program files\java\jre1.8.0_151\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_151\bin\javaw.exe Brak pliku
    FirewallRules: [UDP Query User{AF201354-78DB-44DF-98A3-35F11428C101}C:\program files\java\jre1.8.0_151\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_151\bin\javaw.exe Brak pliku
    FirewallRules: [TCP Query User{8A42084F-1C72-4400-886F-32BEEDB0E9E0}C:\program files\java\jre1.8.0_151\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_151\bin\javaw.exe Brak pliku
    FirewallRules: [UDP Query User{68FDE0A7-61C1-45EE-BC2A-778825FBA11A}C:\program files\java\jre1.8.0_151\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_151\bin\javaw.exe Brak pliku
    FirewallRules: [TCP Query User{A8C94197-C579-4FA2-B51D-A2170E821780}C:\program files\java\jre1.8.0_191\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_191\bin\javaw.exe Brak pliku
    FirewallRules: [UDP Query User{B34BB8EF-9861-445B-B5A0-1FA5D41F3415}C:\program files\java\jre1.8.0_191\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_191\bin\javaw.exe Brak pliku
    FirewallRules: [TCP Query User{8453E601-0CF2-4E5E-93D6-70A75201C39D}C:\program files\java\jre1.8.0_191\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_191\bin\javaw.exe Brak pliku
    FirewallRules: [UDP Query User{75761E67-9783-4013-B958-6C7B70C3E4C7}C:\program files\java\jre1.8.0_191\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_191\bin\javaw.exe Brak pliku
    FirewallRules: [TCP Query User{35F49AC5-F0F1-4991-AF19-AC678196A671}C:\program files (x86)\sopcast\sopcast.exe] => (Allow) C:\program files (x86)\sopcast\sopcast.exe Brak pliku
    FirewallRules: [UDP Query User{7D557BD5-AA69-47DB-B189-FC920154D161}C:\program files (x86)\sopcast\sopcast.exe] => (Allow) C:\program files (x86)\sopcast\sopcast.exe Brak pliku
    FirewallRules: [TCP Query User{4471CC59-AB63-4EA6-89BD-3C2D9267B647}D:\idm\sdi_r1811\sdi_x64_r1811.exe] => (Allow) D:\idm\sdi_r1811\sdi_x64_r1811.exe Brak pliku
    FirewallRules: [UDP Query User{4EA16007-05E2-46BF-8730-70C81A302B32}D:\idm\sdi_r1811\sdi_x64_r1811.exe] => (Allow) D:\idm\sdi_r1811\sdi_x64_r1811.exe Brak pliku
    FirewallRules: [TCP Query User{A4ED5018-2594-4F92-85CD-30F58654933F}D:\idm\sdi_r1811\sdi_x64_r1811.exe] => (Allow) D:\idm\sdi_r1811\sdi_x64_r1811.exe Brak pliku
    FirewallRules: [UDP Query User{109352D4-9A98-4A26-B6F9-C0963758D6B0}D:\idm\sdi_r1811\sdi_x64_r1811.exe] => (Allow) D:\idm\sdi_r1811\sdi_x64_r1811.exe Brak pliku
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Universal Media Server.lnk
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi


  12. Nie widzę tu niczego podejrzanego.

     

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    CHR DefaultSearchURL: Default -> hxxps://pl.search.yahoo.com/search?fr=mcafee_uninternational&type=E211PL826G0&p={searchTerms}
    CHR DefaultSearchKeyword: Default -> mcafee
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi

     

     


  13. W logach nie ma niczego podejrzanego.

    Prawdopodobnie ktoś włamał się na Twoje konto pocztowe.

     

    Odinstaluj ten program:

    Cytat

    App Explorer (HKU\S-1-5-21-1198898253-173381137-3609142154-1001\...\Host App Service) (Version: 0.273.3.707 - SweetLabs) <==== UWAGA

     

    Kosmetyka:

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    Task: {9801C2EA-3A4C-4458-96E5-721EDA6EDAC3} - System32\Tasks\App Explorer => C:\Users\suwer\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7407784 2019-11-21] (SweetLabs Inc. -> SweetLabs, Inc) <==== UWAGA
    C:\Users\suwer\AppData\Local\Host App Service
    SearchScopes: HKU\S-1-5-21-1198898253-173381137-3609142154-1001 -> DefaultScope {AB39825B-9FE3-4112-A2E2-64498EA117DD} URL =
    SearchScopes: HKU\S-1-5-21-1198898253-173381137-3609142154-1001 -> {A5C06EAF-76F9-4BC8-A476-84A5C5AB1AF1} URL =
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi


  14. Jest infekcja SOUNDMIXER - to ona powoduje ten problem!

     

    (ale na razie nie mam czasu, by się tym zająć, może po 15:30)

     

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKU\S-1-5-21-742678756-2304139027-1524245951-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA
    HKU\S-1-5-21-742678756-2304139027-1524245951-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    HKU\S-1-5-21-742678756-2304139027-1524245951-1001\...\Run: [GalaxyClient] => [X]
    GroupPolicy: Ograniczenia ? <==== UWAGA
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    S2 CorsairGamingAudioConfig; C:\Windows\System32\CorsairGamingAudioCfgService64.exe [X]
    S3 cpuz149; \??\C:\WINDOWS\temp\cpuz149\cpuz149_x64.sys [X]
    S3 GPCIDrv; \??\C:\Users\Mateusz\AppData\Local\Temp\7zSEE1B.tmp\N2080_FW_Upgrade_Tool_V003\GPCIDrv64.sys [X] <==== UWAGA
    S3 GPUZ-v2; \??\C:\WINDOWS\TEMP\GPUZ-v2.sys [X]
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    Jeśli problem nie zniknie, to zrobisz nowe logi FRST.

     

    jessi


  15. Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKU\S-1-5-21-1291418262-3119489752-1109750237-1003\...\Run: [mateu] => cmd.exe /c start www.dinoraptzor.org
    Task: {9701FA61-D614-4415-A2FE-35550987834E} - System32\Tasks\mateu => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v mateu /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"
    Task: {ED9F881A-C88D-4E32-ACD0-E59713158099} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    HKU\S-1-5-21-1291418262-3119489752-1109750237-1003\...\Policies\Explorer: []
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    Toolbar: HKU\S-1-5-21-1291418262-3119489752-1109750237-1003 -> Brak nazwy - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Brak pliku
    C:\Users\mateu\Documents\American Truck Simulator\readme.rtf.lnk
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    Jeśli problem nie zniknie, to zrobisz nowy log FRST, już bez Addition, i bez Shortcut.

     

    -------------

    Zainstaluj nowszą, bezpieczniejszą wersję Javy, wg tej strony > https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujące-temat/?tab=comments#comment-179769

    Podczas instalacji dopilnuj, by ta nowa wersja Javy odinstalowała stare wersje, które teraz masz.

     

    jessi

     


  16. Firefox jest zainfekowany, ale poza tym nie widzę niczego podejrzanego.

     

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-12-04] <==== UWAGA (Linkuje do pliku *.cfg)
    FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-12-04] <==== UWAGA
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    FirewallRules: [{08E0254E-3078-4008-ABD3-8AEC6797DE1E}] => (Allow) C:\Program Files (x86)\Lenovo\System Update\uncserver.exe Brak pliku
    FirewallRules: [{5A5BB27D-1437-41FC-B3A4-E33F29CF7672}] => (Allow) C:\Program Files (x86)\Lenovo\System Update\uncserver.exe Brak pliku
    S3 SUService; "C:\Program Files (x86)\Lenovo\System Update\SUService.exe" [X]
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi

     

     


  17. Cytat

    Wykonałem pierwszą część i potem ściągnąłem ten MicrosoftFixit i uruchomiłem. A co mam zrobić z tym drugim cytatem? Tym zaczynającym się od Error?

    MicrosoftFixit powinien przyczynę tego "Erroru".

     

    -----------------

    Cytat

    po otwarciu IE pojawia się google.de zamiast .pl

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.gmx.com/start?src=p_jkld_pl&p=jkld&p_brw=ie&p_mkt=pl&p_tsrc=dpduiuxvo0kxaikmoikm96&p_w=y2w35
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.gmx.com/start?src=p_jkld_pl&p=jkld&p_brw=ie&p_mkt=pl&p_tsrc=dpduiuxvo0kxaikmoikm96&p_w=y2w35
    HKU\S-1-5-21-3906235096-238085844-2236722319-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web-pl.com/
    HKU\S-1-5-21-3906235096-238085844-2236722319-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
    HKU\S-1-5-21-3906235096-238085844-2236722319-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://search.gmx.com/web/result?origin=p_jkld_pl&p=jkld&p_brw=ie&p_mkt=pl&p_tsrc=dpduiuxvo0kxaikmoikm96&p_w=y2w35&q={searchTerms}
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://search.gmx.com/web/result?origin=p_jkld_pl&p=jkld&p_brw=ie&p_mkt=pl&p_tsrc=dpduiuxvo0kxaikmoikm96&p_w=y2w35&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://search.gmx.com/web/result?origin=p_jkld_pl&p=jkld&p_brw=ie&p_mkt=pl&p_tsrc=dpduiuxvo0kxaikmoikm96&p_w=y2w35&q={searchTerms}
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://search.gmx.com/web/result?origin=p_jkld_pl&p=jkld&p_brw=ie&p_mkt=pl&p_tsrc=dpduiuxvo0kxaikmoikm96&p_w=y2w35&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3906235096-238085844-2236722319-1000 -> DefaultScope {22B1715F-FD64-41DE-AC67-27233CD4DB06} URL = hxxp://www.web-pl.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3906235096-238085844-2236722319-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://search.gmx.com/web/result?origin=p_jkld_pl&p=jkld&p_brw=ie&p_mkt=pl&p_tsrc=dpduiuxvo0kxaikmoikm96&p_w=y2w35&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3906235096-238085844-2236722319-1000 -> {22B1715F-FD64-41DE-AC67-27233CD4DB06} URL = hxxp://www.web-pl.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3906235096-238085844-2236722319-1000 -> {8761917A-309A-4c43-B712-37A183700B86} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
    CHR HomePage: Default -> hxxp://www.web-pl.com/
    CHR StartupUrls: Default -> "hxxp://www.web-pl.com/"
    CHR DefaultSearchURL: Default -> hxxp://www.web-pl.com/search?q={searchTerms}
    CHR DefaultSearchKeyword: Default -> Szukaj
    Reboot:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    ----------------

    Cytat

    Chrome się nadal nie uruchamia (tzn jest proces, ale okna nie ma)

    Przeinstaluj Chrome - może to pomoże?

     

    jessi


  18. Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKU\S-1-5-21-955475205-2621069176-4123217926-1001\...\Winlogon: [Shell] explorer.exe,Explorer.exe <==== UWAGA
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    GroupPolicy: Ograniczenia ? <==== UWAGA
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    Task: {03535854-8718-4dc8-a369-dada104efdf0} - Brak ścieżki do pliku
    Task: {0c9d0eed-f37e-4093-88ed-6e3c0297eb00} - Brak ścieżki do pliku
    Task: {175863e0-7eb8-4c43-ba4e-19a80dc0f62c} - Brak ścieżki do pliku
    Task: {19ac116e-d890-4c0c-9a06-cd4ccd3c4242} - Brak ścieżki do pliku
    Task: {1bd7cd9a-ca92-475c-b19a-28fc50c2b2d3} - Brak ścieżki do pliku
    Task: {238e0869-4b1e-4052-8e34-1d53e0e7398e} - Brak ścieżki do pliku
    Task: {2c61474e-f845-413a-8d71-23d6dcd20d59} - Brak ścieżki do pliku
    Task: {30b02861-b986-402f-bab3-bcaa35f3cf37} - Brak ścieżki do pliku
    Task: {3ad0357c-5943-4bcb-b04d-7b7efcf2636b} - Brak ścieżki do pliku
    Task: {400ecef3-b711-4925-843f-d47d314634d9} - Brak ścieżki do pliku
    Task: {421e652a-9911-4359-ac35-c6982911cf73} - Brak ścieżki do pliku
    Task: {499d197b-41b4-410c-a114-91d6236e75e0} - Brak ścieżki do pliku
    Task: {4ebf0628-1b85-4692-846a-c0b9391b3343} - Brak ścieżki do pliku
    Task: {50661589-9828-4bca-8e8b-4d318b8c0c7d} - Brak ścieżki do pliku
    Task: {5a6d7103-e059-4329-a43f-48126ff7b631} - Brak ścieżki do pliku
    Task: {5ca6094e-3527-4542-b35a-3869ba36a8ca} - Brak ścieżki do pliku
    Task: {658fb38c-8b59-467f-99e5-6011f15a1a08} - Brak ścieżki do pliku
    Task: {66365e98-e0e4-438b-aa89-c87b73bf85dd} - Brak ścieżki do pliku
    Task: {695fb407-19d1-4f8f-8a89-8eb4cc8e3d5a} - Brak ścieżki do pliku
    Task: {6bb65b06-047e-4b2d-ac87-c220d7e4870e} - Brak ścieżki do pliku
    Task: {708edd0a-0489-47e2-b051-9d1503b769e3} - Brak ścieżki do pliku
    Task: {783cef67-41be-426b-ac3e-c07055b42a99} - Brak ścieżki do pliku
    Task: {7a0d633f-daa4-4dca-a2ed-d8ca7d920ae7} - Brak ścieżki do pliku
    Task: {89a108a1-a29f-4855-9248-151d42c810ca} - Brak ścieżki do pliku
    Task: {8e6e5998-818c-4ca8-9a44-d1f546b85dd9} - Brak ścieżki do pliku
    Task: {928f7b39-ddbe-4b0b-be69-10de6a0b8613} - Brak ścieżki do pliku
    Task: {9538dd69-7a69-4c98-aea6-14c103fea9c0} - Brak ścieżki do pliku
    Task: {989b7700-22d4-409b-9329-38c8c8b81741} - Brak ścieżki do pliku
    Task: {a2353781-4ca5-4120-9709-160902e94fb8} - Brak ścieżki do pliku
    Task: {a3a620c1-802e-4139-a6bc-3391cda3a7fc} - Brak ścieżki do pliku
    Task: {a5de8a7a-3a87-416a-a70d-0ea62e47ec83} - Brak ścieżki do pliku
    Task: {ab0b7cfe-6bb8-4ed5-99a8-95d0863d4c6b} - Brak ścieżki do pliku
    Task: {afe5d7f4-0b8b-4963-a4fc-4a55d9c2af1f} - Brak ścieżki do pliku
    Task: {bb3d3906-655c-447f-96d1-160b143c59c3} - Brak ścieżki do pliku
    Task: {bf089ab9-0845-48e8-9ef5-a0fdb5277455} - Brak ścieżki do pliku
    Task: {c71bcd81-e2f8-4629-b034-b595ff169d53} - Brak ścieżki do pliku
    Task: {d4b8bf95-474a-47e5-adab-be182f28b81c} - Brak ścieżki do pliku
    Task: {d6ce05d5-8a17-43a2-bd01-bda664dc6157} - Brak ścieżki do pliku
    Task: {d8b66d5d-0fdd-457c-abcf-0f22255a539c} - Brak ścieżki do pliku
    Task: {da7e7a61-d5ce-4e17-aa3e-e1b7db7b5a41} - Brak ścieżki do pliku
    Task: {e2f6a1bc-1d5d-49a9-816c-034cbac9d4ec} - Brak ścieżki do pliku
    Task: {ef013566-4a44-4701-b2a4-aca80606f7ba} - Brak ścieżki do pliku
    Task: {fe2f5608-9c95-4dcc-abaf-a94867d9b3a5} - Brak ścieżki do pliku
    BHO: Brak nazwy -> {449D0D6E-2412-4E61-B68F-1CB625CD9E52} -> Brak pliku
    BHO: Brak nazwy -> {9421DD08-935F-4701-A9CA-22DF90AC4EA6} -> Brak pliku
    Toolbar: HKU\S-1-5-21-955475205-2621069176-4123217926-1001 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  Brak pliku
    FF Plugin-x32: Adobe Acrobat -> C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Air\nppdf32.dll [Brak pliku]
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    Napisz, czy po tym usuwaniu sytuacja się poprawiła?

     

    jessi

×
×
  • Dodaj nową pozycję...