Miszel03

Ważne jest prawidłowa deinstalacja, czyli taka, która jest zalecana przez producenta. Przykładowo wiele producentów produktów zabezpieczających posiada swoje własne deinstalatory w katalogu instalacyjnym lub w ogóle osobne narzędzia, które trzeba uruchomić z poziomu Trybu awaryjnego (brak żadnych innych akcji). Nie masz wystarczającej wiedzy o samym systemie, więc czyszczenie ręcznie jest wysoce ryzykowne. Rejestr systemu to obszar krytyczny. Ja nie polecę żadnego oprogramowania, ale z aspektów bezpieczeństwa należy patrzeć na to czy jest wykonywana kopia zapasowa rejestru przed wprowadzeniem zmian (i CCleaner chyba ma taką funkcje) oraz tworzyć Punkty przywracania.

Na forum nie polecamy używania oprogramowania przeznaczonego do czyszczenia rejestru. Więcej informacji tutaj i tutaj. Detekcja Nieprawidłowa reguła zapory często powiązana jest z martwą konfiguracją odwołującą się do odinstalowanego program czy też danego komponentu. Sugeruję upewnić się, że zainstalowana wersja jest aktualna. Ewentualnie proszę wyczyścić sekcje reguły zapory - w tym celu przejdź do konsoli komend i użyj polecenia netsh advfirewall reset.

Raporty nie wykazują oznak infekcji. W spoilerze zadaję drobną kosmetykę do wykonania. Po uruchomieniu systemu czasem zauważalne jest "migające" okno konsoli komend, aczkolwiek proces ten może być związany z aktualizacją danego oprogramowania.

Nawiązując do naszej rozmowy na PW: Skoro Windows 10 był oryginalny to prawdę mówiąc pierwszy raz spotykam się z takim przypadkiem. Czy w komputerze nie zalega kurz? Jeśli zaś chodzi o raporty to nie widzę aktywnej infekcji - jest zaśmiecona mapa domen w przeglądarce IE i drobne pozostałości adware / PUP, a oprócz tego szczątki po oprogramowaniu i niepoprawnie odinstalowany ComboFix. Nie wiem czy jest sens się tym zajmować. To problem poboczny i raczej nie widzę związku. Liczyłem, że dane, które pobiorę z Dziennika zdarzeń coś mi podpowiedzą, ale brak tu widocznych konkretów: problemy z budową licznika usługi WSearchIdxPi. Error: (03/12/2018 06:55:32 PM) (Source: Windows Search Service) (EventID: 10021) (User: ) Description: Nie można uzyskać informacji rejestru licznika wydajności dla elementu WSearchIdxPi w wystąpieniu z powodu następującego błędu: Operacja ukończona pomyślnie. 0x0. Error: (03/12/2018 06:55:32 PM) (Source: Windows Search Service) (EventID: 3007) (User: ) Description: Nie można zainicjować monitorowania wydajności dla obiektu programu zbierającego, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer. Kontekst: aplikacja , wykaz SystemIndex Error: (03/12/2018 06:55:32 PM) (Source: Windows Search Service) (EventID: 3006) (User: ) Description: Nie można zainicjować monitorowania wydajności dla usługi zbierającej, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer. martwe, generujące błędy sterowniki od Zemana AntiMalware. Name: ZAM Helper Driver Description: ZAM Helper Driver Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: ZAM Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Name: ZAM Guard Driver Description: ZAM Guard Driver Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: ZAM_Guard Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Reasumując: nie wiem co może być przyczyną, zapytam jeszcze picasso, może ona będzie wiedziała gdzie warto szukać.

Całość pomyślnie wykonana. Miło mi, że mogłem pomóc! Nie widzę pliku Fixlog? Ale Ci już go odpuszczę... 1. Skasuj ręcznie przez SHFIT + DEL (omijanie kosza) ten skrót: C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnet Ехрlоrеr Вrowser.lnk 2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Cieszę się, że mogłem pomóc. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Zamykam.

Zapoznaj się z zasadami działu. Jeden z zaszyfrowanych plików prześlij na serwer usługi ID Ransomware i dostarcz wynik analizy (w postaci zrzutu ekranu).

Całość pomyślnie wykonana. Czy problem ustąpił? Sugeruję założyć temat z dziale Oprogramowanie zabezpieczające, gdzie otrzymasz pomoc w dobrze zestawu zabezpieczającego. W mojej opinii Comodo to dobry produkt, ale warto pokusić się o jego konfigurację.

SppExtComObjHook.dll to komponent AutoKMS, czyli lewego aktywatora Windows / Office, który Comodo adresuję jako potencjalnie niepożądaną aplikację. Przeprowadź następujące akcje (kasacja cracka oraz martwych wpisów / resztek po oprogramowaniu m.in po przeglądarce Mozilla FireFox / czyszczenie lokalizacji TEMP, w tym systemowego kosza): 1. Przejdź do lokalizacji C:\Windows\AutoKMS, odnajdź w niej plik deinstalacyjny cracka (nazwa zbliżona do uninstall.exe) i uruchom go. Jeśli deinstalacja zawiedzie, skrypt FRST usunie widoczne obiekty. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1682720032-618446467-3045703623-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-1663F47506CF}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku Task: {D2E966FD-B9D6-4757-8093-CD3EDBD99EB0} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2018-02-09] () C:\Windows\AutoKMS HKU\S-1-5-21-1682720032-618446467-3045703623-1001\...\Run: [AdobeBridge] => [X] HKLM\...\Policies\Explorer: [NoRecentDocsNetHood] 0 HKU\S-1-5-21-1682720032-618446467-3045703623-1001\...\Policies\Explorer: [NoTrayItemsDisplay] 0 HKU\S-1-5-21-1682720032-618446467-3045703623-1001\...\Policies\Explorer: [HideClock] 0 HKU\S-1-5-21-1682720032-618446467-3045703623-1001\...\Policies\Explorer: [HideSCANetwork] 0 HKU\S-1-5-21-1682720032-618446467-3045703623-1001\...\Policies\Explorer: [HideSCAVolume] 0 SearchScopes: HKU\S-1-5-21-1682720032-618446467-3045703623-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dropbox\Dropbox Website.URL DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\stefa\AppData\Local\Mozilla C:\Users\stefa\AppData\Roaming\Mozilla C:\Users\stefa\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Pan = picasso jest kobietą. Doczyszczenia zostały pomyślnie wykonane. Sugeruję wykonać kompleksową reinstalacje przeglądarki Mozilla FireFox i sprawdzić efekty.

Genius, czy temat będzie kontynuowany?

Komentując skan Malwarebytes: - PUP.Optional.InstallCore to drobne pozostałości po tzw. Asystentach pobierania. - PUP.Optional.NotChromeRun to nie do końca poprawna detekcje, gdyż jest to zwykł, automatyczny start przeglądarki przy uruchomieniu systemu. - PUP.Optional.GameHack / PUP.Optional.OpenCandy - twory dotyczą jakiś hacków / cracków gry. Myślę, że wszystko można zadać do kasacji. Po tym będziemy finalizacja, więc jeśli będzie już wszystko w porządku to zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Dostosuj temat do zasad działu, choć to nie wygląda na problem infekcyjny.

Ale były instalowane, bo widzę szczątki po Emsisoft i Zemana. Jednak zgaduję, że problem występował już przy pierwszym starcie. Zresztą udział oprogramowania firm trzecich już raczej wykluczyliśmy. Jeśli chodzi o skan Integralności Windows to nie zostały wykonane naprawy (masa odczytów "Cannot repair member file"), tylko wyniki prawdopodobnie są bez znaczenia (usunięte czcionki i inne błahe pliki). Jakkolwiek, ten log nasuwa podejrzenia, że to jakiś modyfikowany Windows 7 z wyciętymi komponentami. Właśnie tu szukałbym winnego. I według mnie wykorzystanie innego obrazu systemowego, który jest oryginalny (= czyli bez żadnych niedomyślnych modyfikacji) rozwiązałoby problem.. Wyczyścimy cały Dziennik zdarzeń i wykonamy restart, być może pojawią się te same błędy i nakierują na źródło problemów (choć jak mówię: w przypadku modyfikacji systemu to może być szukanie igły w stoku siana). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dostarcz log Addition.

Tak i ja w raporcie widzę to samo: ShortcutWithArgument: C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> -extoff ...ale nie wiem dlaczego tak się dzieję. Utworzymy ten skrót od nowa. PUP.Optional.YourSites123.ShrtCln, PUP.Optional.Qone8, PUP.Optional.StartPage - odpadkowe elementy wyszukiwarek adware. Końcowe poprawki: 1. Zagrożenia wykryte przez Malwarebytes zadaj do kasacji. 2. Przeprowadź akcje odnowy argumentu skrótu IE. Skasuj skrót C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk. W lokalizacji C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools utwórz skrót o nazwie Internet Explorer (No Add-ons).lnk z elementem docelowym: "C:\Program Files\Internet Explorer\iexplore.exe" -extoff 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut w celu oceny. Dołącz też plik fixlog.txt.

Ponawiam pytanie:

Akcja pomyślnie wykonana. Foldery docelowe już nie istnieją, bo nie zostały odnalezione. To drobny, odpadkowy klucz Windows - dlatego wystąpiła ochrona dostępu. Czy pkt. 2 został wykonany? P.S: Najświeższe dane z Dziennika zdarzeń informują: Error: (03/10/2018 05:17:31 PM) (Source: cdrom) (EventID: 7) (User: ) Description: W urządzeniu \Device\CdRom1 wystąpił zły blok. Poinformowałem moderatora Hardware, by rzucił na to okiem.

Zadane przez Ciebie klucze zostały chyba jednak mimo wszystko przetworzone, gdyż nie widzę już ich w Harmonogramie zadań. Do zrobienia teraz: diagnostyka folderów docelowych zadań, kasacja martwych wpisów / skrótów, resztek po oprogramowaniu (m.in po przeglądarce Mozilla FireFox), czyszczenie lokalizacji tymczasowych (w tym systemowy kosz) i Dziennika zdarzeń. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Folder: C:\ProgramData\DRM Folder: C:\ProgramData\{9CA659C5-16E4-D303-9022-4D410A60C68F} ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {534B3ACC-A4F6-44FD-A080-34659E045824} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKU\S-1-5-21-3104428049-1482610515-1245948029-1001\...\MountPoints2: {b619a7f9-f3e9-11e7-bd58-acb57dd4b020} - "D:\autorun.exe" HKU\S-1-5-21-3104428049-1482610515-1245948029-1001\...\MountPoints2: {b619a80b-f3e9-11e7-bd58-acb57dd4b020} - "F:\autorun.exe" C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Polish Localisation For The Glory\Odinstaluj.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\asus\AppData\Local\Mozilla C:\Users\asus\AppData\Roaming\Mozilla C:\Users\asus\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko jest opisane w podlinkowanym Tutorialu - sekcja Przeglądanie raportu CBS.

Sugerowałbym w celu testu odznaczyć wszystkie niedomyślne rozszerzenia i sprawdzić efekty (choć wątpię, by takie były). No właśnie, ja bym się przyczepił do nieoryginalnej instalacji (w której mogą być jakieś niedomyślne modyfikacje), bo to jedyny punkt zaczepienia. Ponów skan Integralności Windows z opcji sfc /scannow i dostarcz przefiltrowany raport. Pokaż również zestaw raportów FRST.

Dyski wyglądają w porządku. Skoro nie są oryginalne, to niewykluczone są jakieś niedomyślne modyfikacje. Legalne pobieranie obrazów instalacyjnych Windows Teoretycznie gdybyś posiadał klucz aktywacyjny (obraz Windows 7 wymaga) to można by było dokonać tzw. reperacji nakładkowej bez utraty danych. To nadpis Windows, który mógłby usunąć ten problem (ale tylko w przypadku ingerencji w system, reperacja nie przyniesie rezultatu jeśli w tym systemie była jakaś inna, zewnętrzna niespodzianka). Ale to na razie idzie w odstawkę, bo jeszcze dla pewności sprawdzimy rozszerzenia powłoki. Uruchom odpowiedni dla typu systemu ShellExView, z wciśniętym CTRL zaznacz wszystkie niedomyślne wpisy (są wyróżnione na różowym tle), następnie CTRL + S i przedstaw zapisany raport (plik tekstowy) w postaci załącznika na forum.

W jakim celu prosisz o pomoc na forum, skoro i tak wykonujesz działania samodzielnie? Zdajesz sobie sprawę, że to jest tylko i wyłączenie marnowanie cennego czasu osób pomagających? Byłem w trakcie rozpisywania instrukcji, gdy pojawił się komunikat o nowym poście = cała praca do kosza, bo raporty już nieaktualne. Miej na uwadze, że jako moderator, mógłbym skasować teraz ten temat bez uprzedzenia. Skrypt był pisany bez zrozumienia i są tutaj błędy (wynikające z braku znajomości FRST i systemu). Proszę o nowy zestaw raportów FRST.

Czy instalowane systemy były oryginalne? Być może problem leży w Hardware (choć nie sądzę). Wykonaj diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log.

Operacja pomyślnie wykonana. Przechodzimy do doczyszczeń. Przeprowadź następujące akcje: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Users\postgres.KaC-Komputer\Desktop\Bridge Master 2000.lnk C:\Users\postgres\Desktop\PokerTracker 3.lnk C:\Users\KaC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\f966724577ef19eb\PokerStars.EU.lnk C:\Users\KaC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KGS Online\CGoban 3.lnk C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pandanet IGS\GoPanda.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rodos 2010\Uaktualnij Rodos 2010.lnk C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DragonRoomGrandPoker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bridge Base Inc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDA-glGo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerTracker 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKU\S-1-5-21-170041769-2645518904-2340773898-1014\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms} HKU\S-1-5-21-170041769-2645518904-2340773898-1014\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452609464&z=0b2f228cecc2316c38a99c2gfz1w5oaqee4t5zawft&from=ient12253&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV HKU\S-1-5-21-170041769-2645518904-2340773898-1014\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms} HKU\S-1-5-21-170041769-2645518904-2340773898-1159\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms} HKU\S-1-5-21-170041769-2645518904-2340773898-1159\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452609464&z=0b2f228cecc2316c38a99c2gfz1w5oaqee4t5zawft&from=ient12253&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV HKU\S-1-5-21-170041769-2645518904-2340773898-1159\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms} SearchScopes: HKU\S-1-5-21-170041769-2645518904-2340773898-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms} SearchScopes: HKU\S-1-5-21-170041769-2645518904-2340773898-1014 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms} SearchScopes: HKU\S-1-5-21-170041769-2645518904-2340773898-1159 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms} FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] R2 postgresql-8.4; c:/postgreSQL/bin/pg_ctl.exe runservice -N "postgresql-8.4" -D "c:/postgreSQL/data" -w [X] S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 sxuptp; system32\DRIVERS\sxuptp.sys [X] CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Powtórz całościowy skan Malwarebytes. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Czy podczas wykonywania tzw. czystego rozruchu problem również występuję? Rozumiem, że na aktualnym systemie nie ma zainstalowanego żadnego pakietu zabezpieczającego? Stare tematy na forum (KLIK / KLIK) pokazywały, że taki efekt może dać instalacja antywirusa.