Miszel03

Ważne jest prawidłowa deinstalacja, czyli taka, która jest zalecana przez producenta. 

Przykładowo wiele producentów produktów zabezpieczających posiada swoje własne deinstalatory w katalogu instalacyjnym lub w ogóle osobne narzędzia, które trzeba uruchomić z poziomu Trybu awaryjnego (brak żadnych innych akcji). 

Ewentualnie jaki najlepszy i najbezpieczniejszy jest soft do czyszczenia rejestru? Ręcznie?

Nie masz wystarczającej wiedzy o samym systemie, więc czyszczenie ręcznie jest wysoce ryzykowne. Rejestr systemu to obszar krytyczny. 

Ja nie polecę żadnego oprogramowania, ale z aspektów bezpieczeństwa należy patrzeć na to czy jest wykonywana kopia zapasowa rejestru przed wprowadzeniem zmian (i CCleaner chyba ma taką funkcje) oraz tworzyć Punkty przywracania. 

Na forum nie polecamy używania oprogramowania przeznaczonego do czyszczenia rejestru. Więcej informacji tutaj i tutaj.

Detekcja Nieprawidłowa reguła zapory często powiązana jest z martwą konfiguracją odwołującą się do odinstalowanego program czy też danego komponentu.

Sugeruję upewnić się, że zainstalowana wersja jest aktualna.

Ewentualnie proszę wyczyścić sekcje reguły zapory - w tym celu przejdź do konsoli komend i użyj polecenia netsh advfirewall reset.

Raporty nie wykazują oznak infekcji. W spoilerze zadaję drobną kosmetykę do wykonania. 

Po uruchomieniu systemu czasem zauważalne jest "migające" okno konsoli komend, aczkolwiek proces ten może być związany z aktualizacją danego oprogramowania. 

CloseProcesses:
CreateRestorePoint:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Deinstalacja programu World of Tanks.lnk
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {08F8AD47-F790-49FE-BA91-55D00B8E6F4E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {AF70252D-ADC6-4EFE-8958-BA5376899908} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku 
Task: {B074BA52-5930-4BF8-A311-4483F4F0CAED} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {8D468DA1-3CC1-47EB-A811-DE282FDD9BDE} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {BABEF5F0-4E68-4836-8B5C-1381E4DD4120} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {04B00323-0454-4BF5-96C9-4A6807FAE5AD} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku 
Task: {12AF160D-C751-4E61-B8E0-CE65B3C18A6C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {25C89ACB-5A09-43E3-BB7F-F08962FF0E98} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku 
Task: {34AC7D51-BD4A-47B5-A46B-CCF227B75641} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {49925831-580B-49EC-828B-4F609222709A} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku 
Task: {4FFADB57-659D-43C4-A5B8-22F219121EA0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {82763FDB-F4C5-4433-BD0A-0C27301E8F9E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {994EC815-4A9B-4E0A-AA58-0E1A7B383480} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {9A0783DA-03CD-4CB2-876C-93038CD971C4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {B3050372-7231-4D40-A4F1-9B193FD07A12} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku 
Task: {C81D49D1-1B0E-4B34-A2D7-2FA162FCB489} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Nawiązując do naszej rozmowy na PW:

hmm... no dobra win7 jest niewiadomego pochodzenia ale win10 był prosto od microsoftu a działy się takie same że tak powiem "jaja".

Skoro Windows 10 był oryginalny to prawdę mówiąc pierwszy raz spotykam się z takim przypadkiem. 

Chciałem jeszcze coś dopowiedzieć. Mianowicie nie wiem czy w komputerze nie siedzi jakiś jednak wirus bo niekiedy odpalę komputer i jest wszystko ok z moimi wiatrakami, ale bardzo często się zdarza, że wiatraki po prostu szaleją ten na zasilaczu zawsze ładnie i równo ale od cpu masakra i ten od karty graficznej też tak mi się przynajmniej wydaje. Nie wiem być może ma to związek ze sprawą. Zaznaczam że działo się tak samo na win10. Komputer ma już kilka lat i kiedyś wydaje mi się, że działało to dużo ciszej. Teraz to brzmi jakby ktoś włączył suszarkę na max obroty. I nie ważne czy po prostu przeglądam np. strony na operze lub po prostu wasze forum bo dzieje się tak właściwie od startu systemu. Kiedyś jak włączyło się jakąś bardziej wymagającą grę to potrafiło wszystko przyspieszyć ale na pewno nie aż tak jak teraz a teraz przecież nic takiego mu nie włączam bo jedynie co to przeglądarkę. Aha i bywa, że chłodzenie uspokoi się i nie wariuje ale to też ciężko wyczuć kiedy PCtowi coś odwali dziwne to jakieś.

Czy w komputerze nie zalega kurz? 

Jeśli zaś chodzi o raporty to nie widzę aktywnej infekcji - jest zaśmiecona mapa domen w przeglądarce IE i drobne pozostałości adware / PUP, a oprócz tego szczątki po oprogramowaniu i niepoprawnie odinstalowany ComboFix. Nie wiem czy jest sens się tym zajmować. To problem poboczny i raczej nie widzę związku. 

Liczyłem, że dane, które pobiorę z Dziennika zdarzeń coś mi podpowiedzą, ale brak tu widocznych konkretów:

• problemy z budową licznika usługi WSearchIdxPi. 

Error: (03/12/2018 06:55:32 PM) (Source: Windows Search Service) (EventID: 10021) (User: )
Description: Nie można uzyskać informacji rejestru licznika wydajności dla elementu WSearchIdxPi w wystąpieniu   z powodu następującego błędu: Operacja ukończona pomyślnie.   0x0.
 
Error: (03/12/2018 06:55:32 PM) (Source: Windows Search Service) (EventID: 3007) (User: )
Description: Nie można zainicjować monitorowania wydajności dla obiektu programu zbierającego, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer.
 
Kontekst: aplikacja , wykaz SystemIndex
 
Error: (03/12/2018 06:55:32 PM) (Source: Windows Search Service) (EventID: 3006) (User: )
Description: Nie można zainicjować monitorowania wydajności dla usługi zbierającej, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer.

• martwe, generujące błędy sterowniki od Zemana AntiMalware. 

Name: ZAM Helper Driver

Description: ZAM Helper Driver

Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}

Manufacturer: 

Service: ZAM

Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)

Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.

Devices stay in this state if they have been prepared for removal.

After you remove the device, this error disappears.Remove the device, and this error should be resolved.

 

Name: ZAM Guard Driver

Description: ZAM Guard Driver

Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}

Manufacturer: 

Service: ZAM_Guard

Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)

Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.

Devices stay in this state if they have been prepared for removal.

After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Reasumując: nie wiem co może być przyczyną, zapytam jeszcze picasso, może ona będzie wiedziała gdzie warto szukać.

Całość pomyślnie wykonana. Miło mi, że mogłem pomóc!

Nie widzę pliku Fixlog? Ale Ci już go odpuszczę...

1. Skasuj ręcznie przez SHFIT + DEL (omijanie kosza) ten skrót: C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnet Ехрlоrеr Вrowser.lnk

2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Cieszę się, że mogłem pomóc.

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Zamykam. 

Zapoznaj się z zasadami działu. 

Jeden z zaszyfrowanych plików prześlij na serwer usługi ID Ransomware i dostarcz wynik analizy (w postaci zrzutu ekranu). 

Całość pomyślnie wykonana. 

Czy problem ustąpił?

PS. Czy Comodo to dobry program jaki Internet Security? Używam z przyzwyczajenia od lat ale może jest coś lepszego jeśli chodzi o poziom bezpieczeństwa i ogólną wydajność?

Sugeruję założyć temat z dziale Oprogramowanie zabezpieczające, gdzie otrzymasz pomoc w dobrze zestawu zabezpieczającego.

W mojej opinii Comodo to dobry produkt, ale warto pokusić się o jego konfigurację.

SppExtComObjHook.dll to komponent AutoKMS, czyli lewego aktywatora Windows / Office, który Comodo adresuję jako potencjalnie niepożądaną aplikację. 

Przeprowadź następujące akcje (kasacja cracka oraz martwych wpisów / resztek po oprogramowaniu m.in po przeglądarce Mozilla FireFox / czyszczenie lokalizacji TEMP, w tym systemowego kosza):

1. Przejdź do lokalizacji C:\Windows\AutoKMS, odnajdź w niej plik deinstalacyjny cracka (nazwa zbliżona do uninstall.exe) i uruchom go. Jeśli deinstalacja zawiedzie, skrypt FRST usunie widoczne obiekty. 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-1682720032-618446467-3045703623-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-1663F47506CF}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
Task: {D2E966FD-B9D6-4757-8093-CD3EDBD99EB0} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2018-02-09] ()
C:\Windows\AutoKMS
HKU\S-1-5-21-1682720032-618446467-3045703623-1001\...\Run: [AdobeBridge] => [X]
HKLM\...\Policies\Explorer: [NoRecentDocsNetHood] 0
HKU\S-1-5-21-1682720032-618446467-3045703623-1001\...\Policies\Explorer: [NoTrayItemsDisplay] 0
HKU\S-1-5-21-1682720032-618446467-3045703623-1001\...\Policies\Explorer: [HideClock] 0
HKU\S-1-5-21-1682720032-618446467-3045703623-1001\...\Policies\Explorer: [HideSCANetwork] 0
HKU\S-1-5-21-1682720032-618446467-3045703623-1001\...\Policies\Explorer: [HideSCAVolume] 0
SearchScopes: HKU\S-1-5-21-1682720032-618446467-3045703623-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dropbox\Dropbox Website.URL 
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\stefa\AppData\Local\Mozilla
C:\Users\stefa\AppData\Roaming\Mozilla
C:\Users\stefa\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp: 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Podsyłam jeszcze fixloga który się wygenerował po wprowadzeniu tego programu który Pan zaproponował.

Pan = picasso jest kobietą. 

Doczyszczenia zostały pomyślnie wykonane. 

Dziękuje za pomoc. Z inną przeglądarką nie mam problemu dlatego będe używać raczej chroma.

Sugeruję wykonać kompleksową reinstalacje przeglądarki Mozilla FireFox i sprawdzić efekty.

Genius, czy temat będzie kontynuowany?

Do zamknięcia. Jakież to teorie? W późniejszych raportach tego błędu nie mam. Mogę załączyć.

Komentując skan Malwarebytes:

- PUP.Optional.InstallCore to drobne pozostałości po tzw. Asystentach pobierania. 

- PUP.Optional.NotChromeRun to nie do końca poprawna detekcje, gdyż jest to zwykł, automatyczny start przeglądarki przy uruchomieniu systemu. 

- PUP.Optional.GameHack / PUP.Optional.OpenCandy - twory dotyczą jakiś hacków / cracków gry. 

Myślę, że wszystko można zadać do kasacji. Po tym będziemy finalizacja, więc jeśli będzie już wszystko w porządku to zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Dostosuj temat do zasad działu, choć to nie wygląda na problem infekcyjny. 

(...) nie ma żadnego pakietu zabezpieczającego.

Ale były instalowane, bo widzę szczątki po Emsisoft i Zemana. Jednak zgaduję, że problem występował już przy pierwszym starcie. Zresztą udział oprogramowania firm trzecich już raczej wykluczyliśmy. 

Jeśli chodzi o skan Integralności Windows to nie zostały wykonane naprawy (masa odczytów "Cannot repair member file"), tylko wyniki prawdopodobnie są bez znaczenia (usunięte czcionki i inne błahe pliki).

Jakkolwiek, ten log nasuwa podejrzenia, że to jakiś modyfikowany Windows 7 z wyciętymi komponentami. Właśnie tu szukałbym winnego. 

I według mnie wykorzystanie innego obrazu systemowego, który jest oryginalny (= czyli bez żadnych niedomyślnych modyfikacji) rozwiązałoby problem..

Wyczyścimy cały Dziennik zdarzeń i wykonamy restart, być może pojawią się te same błędy i nakierują na źródło problemów (choć jak mówię: w przypadku modyfikacji systemu to może być szukanie igły w stoku siana).

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Reboot: 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

2. Dostarcz log Addition.

- Co do IE - dopisuję dwie spacje, ale jak ponownie wejdę to już robi się z dwóch - jedna spacja, wyglada to teraz dokładnie tak:

"C:\Program Files\Internet Explorer\iexplore.exe" -extoff

Tak i ja w raporcie widzę to samo:

ShortcutWithArgument: C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> -extoff

...ale nie wiem dlaczego tak się dzieję. Utworzymy ten skrót od nowa.

- MBAM nadal coś znajduje, log poniżej.

PUP.Optional.YourSites123.ShrtCln, PUP.Optional.Qone8, PUP.Optional.StartPage - odpadkowe elementy wyszukiwarek adware.

Końcowe poprawki: 

1. Zagrożenia wykryte przez Malwarebytes zadaj do kasacji.

2. Przeprowadź akcje odnowy argumentu skrótu IE.

• Skasuj skrót C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk.
• W lokalizacji C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools utwórz skrót o nazwie Internet Explorer (No Add-ons).lnk z elementem docelowym: "C:\Program Files\Internet Explorer\iexplore.exe"  -extoff

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut w celu oceny. Dołącz też plik fixlog.txt.

Ponawiam pytanie:

Czy pkt. 2 został wykonany?

Akcja pomyślnie wykonana.

Foldery docelowe już nie istnieją, bo nie zostały odnalezione. 

Przetworzone poza jednym kluczem. Odmowa doń dostępu.

To drobny, odpadkowy klucz Windows - dlatego wystąpiła ochrona dostępu. 

Czy pkt. 2 został wykonany? 

P.S: Najświeższe dane z Dziennika zdarzeń informują:

Error: (03/10/2018 05:17:31 PM) (Source: cdrom) (EventID: 7) (User: )
Description: W urządzeniu \Device\CdRom1 wystąpił zły blok.

Poinformowałem moderatora Hardware, by rzucił na to okiem.

Zadane przez Ciebie klucze zostały chyba jednak mimo wszystko przetworzone, gdyż nie widzę już ich w Harmonogramie zadań. 

Do zrobienia teraz: diagnostyka folderów docelowych zadań, kasacja martwych wpisów / skrótów, resztek po oprogramowaniu (m.in po przeglądarce Mozilla FireFox), czyszczenie lokalizacji tymczasowych (w tym systemowy kosz) i Dziennika zdarzeń.

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
Folder: C:\ProgramData\DRM
Folder: C:\ProgramData\{9CA659C5-16E4-D303-9022-4D410A60C68F}
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {534B3ACC-A4F6-44FD-A080-34659E045824} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe 
HKU\S-1-5-21-3104428049-1482610515-1245948029-1001\...\MountPoints2: {b619a7f9-f3e9-11e7-bd58-acb57dd4b020} - "D:\autorun.exe" 
HKU\S-1-5-21-3104428049-1482610515-1245948029-1001\...\MountPoints2: {b619a80b-f3e9-11e7-bd58-acb57dd4b020} - "F:\autorun.exe" 
C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Polish Localisation For The Glory\Odinstaluj.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\asus\AppData\Local\Mozilla
C:\Users\asus\AppData\Roaming\Mozilla
C:\Users\asus\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko jest opisane w podlinkowanym Tutorialu - sekcja Przeglądanie raportu CBS.

Sugerowałbym w celu testu odznaczyć wszystkie niedomyślne rozszerzenia i sprawdzić efekty (choć wątpię, by takie były).

Wczoraj jeszcze zanim dostałem się na forum trochę czytałem o moim problemie i gdzieś natknąłem się na sposób żeby w cmd wpisać sfc /scannow w celu niby naprawienia jakichś plików i pamiętam, że coś tam wynalazło ale był też wpis, że nie wszystko było możliwe do naprawienia a więcej info w pliku cbs.log coś w tym stylu. Problem w tym, że nie udało mi się otworzyć tego pliku aby podejrzeć co być może jest tam nie tak :/

No właśnie, ja bym się przyczepił do nieoryginalnej instalacji (w której mogą być jakieś niedomyślne modyfikacje), bo to jedyny punkt zaczepienia. 

Ponów skan Integralności Windows z opcji sfc /scannow i dostarcz przefiltrowany raport. Pokaż również zestaw raportów FRST.

Dyski wyglądają w porządku.

Nie systemy nie są oryginalne, ale instalowane już wiele razy i nie tylko na tym komputerze. Nigdy nie było z nimi takich kłopotów :/

Skoro nie są oryginalne, to niewykluczone są jakieś niedomyślne modyfikacje. 

Legalne pobieranie obrazów instalacyjnych Windows

Teoretycznie gdybyś posiadał klucz aktywacyjny (obraz Windows 7 wymaga) to można by było dokonać tzw. reperacji nakładkowej bez utraty danych. To nadpis Windows, który mógłby usunąć ten problem (ale tylko w przypadku ingerencji w system, reperacja nie przyniesie rezultatu jeśli w tym systemie była jakaś inna, zewnętrzna niespodzianka).

Ale to na razie idzie w odstawkę, bo jeszcze dla pewności sprawdzimy rozszerzenia powłoki.

Uruchom odpowiedni dla typu systemu ShellExView, z wciśniętym CTRL zaznacz wszystkie niedomyślne wpisy (są wyróżnione na różowym tle), następnie CTRL + S i przedstaw zapisany raport (plik tekstowy) w postaci załącznika na forum.

W jakim celu prosisz o pomoc na forum, skoro i tak wykonujesz działania samodzielnie? Zdajesz sobie sprawę, że to jest tylko i wyłączenie marnowanie cennego czasu osób pomagających?

Byłem w trakcie rozpisywania instrukcji, gdy pojawił się komunikat o nowym poście = cała praca do kosza, bo raporty już nieaktualne. Miej na uwadze, że jako moderator, mógłbym skasować teraz ten temat bez uprzedzenia. 

Skrypt był pisany bez zrozumienia i są tutaj błędy (wynikające z braku znajomości FRST i systemu). 

Proszę o nowy zestaw raportów FRST.

Czy instalowane systemy były oryginalne?

Być może problem leży w Hardware (choć nie sądzę). 

Wykonaj diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log.

Operacja pomyślnie wykonana. Przechodzimy do doczyszczeń. 

Przeprowadź następujące akcje:

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
C:\Users\postgres.KaC-Komputer\Desktop\Bridge Master 2000.lnk
C:\Users\postgres\Desktop\PokerTracker 3.lnk
C:\Users\KaC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\f966724577ef19eb\PokerStars.EU.lnk
C:\Users\KaC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk
C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KGS Online\CGoban 3.lnk
C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pandanet IGS\GoPanda.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rodos 2010\Uaktualnij Rodos 2010.lnk
C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DragonRoomGrandPoker
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bridge Base Inc
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDA-glGo
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerTracker 3
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
HKU\S-1-5-21-170041769-2645518904-2340773898-1014\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms}
HKU\S-1-5-21-170041769-2645518904-2340773898-1014\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452609464&z=0b2f228cecc2316c38a99c2gfz1w5oaqee4t5zawft&from=ient12253&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV
HKU\S-1-5-21-170041769-2645518904-2340773898-1014\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms}
HKU\S-1-5-21-170041769-2645518904-2340773898-1159\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms}
HKU\S-1-5-21-170041769-2645518904-2340773898-1159\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452609464&z=0b2f228cecc2316c38a99c2gfz1w5oaqee4t5zawft&from=ient12253&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV
HKU\S-1-5-21-170041769-2645518904-2340773898-1159\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms}
SearchScopes: HKU\S-1-5-21-170041769-2645518904-2340773898-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms}
SearchScopes: HKU\S-1-5-21-170041769-2645518904-2340773898-1014 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms}
SearchScopes: HKU\S-1-5-21-170041769-2645518904-2340773898-1159 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457964779&z=6111626130c5b9f8c08ce29g8z6wam2t0qdz6m2mdm&from=wpm0314&uid=ST9500325AS_6VE42YWVXXXX6VE42YWV&q={searchTerms}
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
R2 postgresql-8.4; c:/postgreSQL/bin/pg_ctl.exe runservice -N "postgresql-8.4" -D "c:/postgreSQL/data" -w [X]
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
S3 sxuptp; system32\DRIVERS\sxuptp.sys [X]
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

C:\Users\KaC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

3. Powtórz całościowy skan Malwarebytes. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Czy podczas wykonywania tzw. czystego rozruchu problem również występuję? 

Działo się tak wcześniej na Win10 ale postanowiłem zrobić format i postawiłem wszystko od początku ale tym razem Win7. System świeży nie instalowałem nawet jeszcze sterowników a tu nadal ten sam problem.

Rozumiem, że na aktualnym systemie nie ma zainstalowanego żadnego pakietu zabezpieczającego? Stare tematy na forum (KLIK / KLIK) pokazywały, że taki efekt może dać instalacja antywirusa.