Miszel03

Tak, u siebie mam tak samo. To czy suwak się uaktywnia zależy od ilość plików w folderze. Jeśli w C:\Program Files masz ich na tyle mało, że niepotrzebne jest scrollowanie to nie ma suwaka. W Folderze Mozilla zazwyczaj plików jest bardzo dużo.

Zadania pomyślnie wykonane. Malwarebytes potwierdził moje wyniki, więc będziemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Malwarebytes możesz odinstalować.

Spokojnie, analiza może zająć trochę czasu. Jeśli do godziny licznik procentowy nie ruszy proszę zatrzymać proces analizy i zacząć od nowa.

Wyślij zaszyfrowany plik na serwis usługi ID Ransomware i dostarcz wynik analizy (screen).

Tak, system Windows jest w porządku i dysk też na taki wygląda. Poszerzamy diagnostykę, teraz powinno coś wyjść. Wykonaj raport Windows Performance Recorder z opcji: First level triage oraz Loging mode: File. Powstały log wynikowy spakuj do archiwum, a następnie wyślij go na jakiś hosting, np. MediaFire. Postaraj się, aby w trakcie wykonywania raportu było uruchomionych jak najmniej programów firm trzecich, wyłącz oprogramowanie antywirusowe. P.S: Temat przenoszę do działu Windows 10.

Niemożliwe, musiało być, bo to poprawne zachowanie podczas przeglądania zawartości za pomocą suwaka.

1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Podsumuj obecną sytuację. Czy problemy ustąpiły?

W raportach brak oznak infekcji, są tylko szczątki po adware w pliku Hosts (blokada aktualizacji licencji Malwarebytes) oraz szczątki po oprogramowaniu. Na wszelki wypadek przeprowadzimy kompleksowy skan antywirusowy. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: HKU\S-1-5-21-444814806-3231848153-1378265534-1001\...\Policies\Explorer: [] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => -> Brak pliku AlternateDataStreams: C:\ProgramData\TEMP:C05ABBB5 [156] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navitel Navigator update center\Navitel Navigator update center.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navitel Navigator update center\Uninstall.lnk Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko pomyślnie wykonane. Infekcje usunięte, teraz jeszcze Malwarebytes wysprząta to co on widzi, a następnie ja przeanalizuję raporty od nowa by upewnić się, że już nic nie pozostało. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Powtórz skan Malwarebytes, by upewnić się, że już nic nie wykrywa. Jeśli coś zostanie wykryte to niczego nie usuwaj, a dostarcz raport. 3. Dostarcz nowy zestaw raportów FRST, wraz z Addition i Shrotcut.

W raportach brak oznak infekcji oraz pozycji mogących powodować problem spowolnienia. 1. Dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows. 2. Wykonaj diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynik.

Post poprawiam, raportów proszę nie wklejać bezpośrednio do posta. Po otworzeniu strony wklej.org należy skopiować zawartość każdego raportu osobno i wkleić (za pomocą opcji Wklej), a następnie z pasku adresów URL skopiować link i wkleić do posta. Akcję trzeba powtórzyć dla każdego z raportów, czyli w sumie mają być 3 linki. Zapytam zaraz picasso, bo limit chyba powinien być większy.

System jest przytłoczony przez infekcje adware (które dodatkowo blokuję instalacje większość programów zabezpieczających), ale są też sztuki grubszego kalibru. Póki co nie wykorzystuj tego komputera do ważnych operacji finansowych. Adware prawdopodobnie przedostało się do systemu wraz z Asystentem Pobierania serwisu DobreProgramy, do poczytania Portale z oprogramowaniem / Instalatory - na co uważać. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Users\Mati\Desktop\TeamSpeak 3 Client.lnk C:\Users\Mati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client.lnk ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {111FFD10-57D0-4B76-BBE5-8A7B66D6ACBE} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {1D3FC0A2-7F44-4FAE-934F-564B350A26F6} - \WPD\SqmUpload_S-1-5-21-4274788851-1844473529-1912967261-1001 -> Brak pliku Task: {20FDA149-3D59-4386-A284-03DBE43FCBBD} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {27FFA7C6-6188-4E7B-B3F7-C9B31CB1BE01} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {32D5ACF2-36E6-49D5-9575-4AC521C9DCAB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {B194A4E6-7E58-409E-81E4-F2507481BBE4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {6DCC83AA-2D96-4063-BC95-3AAAFD9097F9} - System32\Tasks\iFileSpy => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\iFileSpy\iFileSpy.dll",fssYCuS Task: {84AE8503-DE98-429B-8778-0EA6B8C71673} - System32\Tasks\{5DC18CEC-A5D6-48E3-AF2E-0B0465691F15} => C:\WINDOWS\Windows\ProgramData\svchost.exe Task: {B5AB1458-A8F1-4C6E-8718-2BCACFBA970A} - System32\Tasks\iMonitor Video Converter => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\iMonitor Video Converter\iMonitor Video Converter.dll",gquqPeqWRIV Task: {F431F7EF-5702-46AE-8D7E-89B7C4A143F6} - System32\Tasks\wincore => C:\WINDOWS\Windows\ProgramData\wincore.exe C:\Program Files\iFileSpy C:\Program Files\iMonitor Video Converter C:\WINDOWS\Windows\ProgramData C:\Users\Public\Desktop\Настройки FIFA14.lnk HKLM\...\Run: [pYrVerCaM4] => C:\Program Files\vsappltlpvsPJQUf\.mAJappltlpmAJ.vbs [168 2017-12-06] () HKLM\...\RunOnce: [MRM] => C:\WINDOWS\TEMP\g767E.tmp.exe C:\Program Files\vsappltlpvsPJQUf HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-4274788851-1844473529-1912967261-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - -> Brak pliku Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.pYrappltlppYr.vbs [2017-12-06] () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.pYrappltlppYr.vbs GroupPolicy: Ograniczenia - Chrome GroupPolicy\User: Ograniczenia S2 daeaService_1092541921; C:\ProgramData\daeaService\daeaService_1092541921.exe [278528 2017-11-12] () [brak podpisu cyfrowego] C:\ProgramData\daeaService 2017-12-09 16:21 - 2017-12-09 16:21 - 001578080 _____ (Licarelo ) C:\Users\Mati\Downloads\Odkurzacz-12322-AsystentPobierania.exe 2017-11-13 21:39 - 2017-11-13 21:39 - 000553687 _____ C:\Users\Mati\Downloads\RegCleaner(dobreprogramy.pl).exe 2017-11-13 21:37 - 2017-11-13 21:37 - 001625840 _____ ( ) C:\Users\Mati\Downloads\RegCleaner-11442-AsystentPobierania.exe 2017-12-11 19:11 - 2017-12-11 19:11 - 000000000 ____D C:\ProgramData\Reimage Protector 2017-12-09 15:58 - 2017-12-09 16:38 - 000000000 ____D C:\Program Files\Reimage 2017-12-09 15:57 - 2017-12-09 16:01 - 000000140 _____ C:\WINDOWS\Reimage.ini 2017-12-09 15:57 - 2017-12-09 16:01 - 000000000 ____D C:\rei 2017-12-09 15:57 - 2017-12-09 15:57 - 000605424 _____ (Reimage) C:\Users\Mati\Downloads\ReimageRepair.exe 2017-11-19 20:17 - 2017-11-19 20:18 - 000000000 ____D C:\Users\Mati\AppData\Local\svchost 2017-11-12 14:33 - 2017-11-12 14:33 - 000000000 ____D C:\Users\Mati\AppData\Local\UCBrowser 2017-11-12 14:15 - 2017-12-05 22:06 - 000000000 ____D C:\Program Files\LaCie Private Public 2017-11-12 14:28 - 2017-11-12 14:29 - 000000000 ____D C:\Users\Mati\AppData\LocalLow\CelGrfgXIrZdI 2017-11-12 14:14 - 2017-11-12 14:15 - 000000000 ____D C:\Program Files\8G3RQ4LFWH 2017-11-12 14:14 - 2017-11-12 14:14 - 000000000 ____D C:\Users\Mati\AppData\Roaming\pwpbc0hmgny 2017-11-12 14:14 - 2017-11-12 14:14 - 000000000 ____D C:\Users\Mati\AppData\Roaming\j4pv0swdiqw 2017-11-12 14:14 - 2017-11-12 14:14 - 000000000 ____D C:\Users\Mati\AppData\Roaming\hgecfhwssht 2017-11-12 14:14 - 2017-11-12 14:14 - 000000000 ____D C:\Users\Mati\AppData\Roaming\Easeware 2017-11-12 14:13 - 2017-11-12 14:13 - 000000000 ____D C:\Users\Mati\AppData\Roaming\yvljcf0sph5 2017-11-12 14:13 - 2017-11-12 14:13 - 000000000 ____D C:\Program Files\ESKQBFV6BL 2017-11-12 14:15 - 2017-11-12 14:15 - 000000000 ____D C:\Program Files\ZOMHLLJKCH 2017-11-12 14:14 - 2017-11-12 14:14 - 000140800 _____ C:\Users\Mati\AppData\Local\installer.dat 2017-11-12 14:15 - 2017-11-12 14:15 - 000000000 ____D C:\Disk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Mati\AppData\Local\Mozilla C:\Users\Mati\AppData\Roaming\Mozilla C:\Users\Mati\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Mati\AppData\Local CMD: dir /a C:\Users\Mati\AppData\LocalLow CMD: dir /a C:\Users\Mati\AppData\Roaming VirusTotal: C:\WINDOWS\system32\Drivers\VqipJuxB.sys Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj podejrzane wejścia / adware: Speed Dial [FVD] - New Tab Page, 3D, Sync..., Tiempo en colombia en vivo oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Tak, teraz wszystko jest OK Postaram się odpowiedzieć w temacie rano.

Przespałem Twój temat, poproszę o nowy zestaw raportów FRST, a sprawdzę je jak najszybciej mogę.

Raporty kasuję - powinny być bez dat, czyli nie z archiwalnego C:\FRST, a z miejsca, z którego FRST został uruchomiony. Po za tym zaznaczyłeś złą konfigurację - zapoznaj się z naszą.

Nie widzę tych raportów, przeczytaj ze zrozumieniem zasady działu (pkt. 3).

W systemie widoczne są instalacje adware, zaś w Harmonogramie zadań uprasowały się szkodliwe wpisy - LaCieS oraz ShadowsocksS (które powodują u Ciebie problemy). Powinniśmy szybko się z tym uporać. 1. Przez Panel sterowania odinstaluj adware / PUP: MyPC Backup, Smart File Advisor 1.1.8. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {4CCA3661-EE02-43F9-8DEC-638AE3442A85} - System32\Tasks\ShadowsocksS => C:\Applications\Service.exe [2017-09-18] (TODO: ) Task: {6FFD1B21-092E-4EBD-BE44-E1548457E01A} - System32\Tasks\LaCieS => C:\Disk\WebService.exe [2017-10-14] (TODO: ) Task: {C663462E-6E8F-488B-86C9-A029B0C43AD7} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku C:\Disk C:\Applications Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W celu otrzymania pomocy proszę dostosować swój temat do zasad działu.

Aktualnie nie ma skutecznego dekodera, ale to już pewnie zdążyłeś przeczytać. Dane pozostaw, może w przyszłości pojawi się dekoder. Możesz co jakiś czas sprawdzać w ten sposób czy nie powstał dekoder.

Zrób zestaw raportów FRST, abym upewnił się, że Twój system jest wolny od złośliwego oprogramowania. Zaszyfrowany plik prześlij na serwer usługi ID Ransomware (program pokazuję również czy wynaleziono dekoder) i dostarcz wynik analizy (najlepiej screen).

Bardzo się cieszę. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Już po ptakach, ja zawsze na forum robię punkt przywracania na wypadek gdyby coś poszło nie tak. To, że nie robisz kopii zapasowych to nie dobrze, sugeruję zacząć. Wszystko pomyślnie wykonane. Czy coś uległo zmianie? Problemy ustąpiły, czy może nadal są?

W raportach widoczne są polityki z różnymi ograniczeniami i to one mogą odpowiadać za problem dot. wolnego działania systemu. Jeśli zaś chodzi o problem z przekierowaniami na strony bukmacherskie itd. to oprócz podejrzanego rozszerzenia Reverse Page 1.0.1 nie widzę niczego ciekawego. 1. Włącz funkcję przywracania systemu, bym mógł utworzyć punkt przywracania. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers4: [AVG Disk Space Explorer Shell Extension] -> {4838CD50-7E5D-4811-9B17-C47A85539F28} => C:\Program Files (x86)\AVG\AVG PC TuneUp\DseShExt-x64.dll -> Brak pliku ContextMenuHandlers4: [AVG Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => C:\Program Files (x86)\AVG\AVG PC TuneUp\SDShelEx-x64.dll -> Brak pliku AlternateDataStreams: C:\ProgramData\TEMP:054203E4 [312] MSCONFIG\startupreg: StartupOptimizer.exe C: => HKLM\...\Policies\Explorer: [RestrictRun] 0 HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKLM\...\Policies\Explorer: [NoResolveSearch] 1 HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-1942541910-2699294463-2421528154-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-1942541910-2699294463-2421528154-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 HKU\S-1-5-21-1942541910-2699294463-2421528154-1000\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-21-1942541910-2699294463-2421528154-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-1942541910-2699294463-2421528154-1000\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1942541910-2699294463-2421528154-1000\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM-x32 -> DefaultScope - brak wartości FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] U4 nicm; Brak ImagePath U4 nwfilter; Brak ImagePath U4 parvdm; Brak ImagePath U4 smbios; Brak ImagePath U4 VMTools; Brak ImagePath U4 VMUpgradeHelper; Brak ImagePath S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] C:\Users\standardowy\Desktop\Vegas Pro 13.0 (64-bit).lnk C:\Users\standardowy\AppData\Roaming\Microsoft\Word\PZU%20Opieka%20medyczna%20-%20Wniosek%20o%20części304672983696182963\PZU%20Opieka%20medyczna%20-%20Wniosek%20o%20częściową%20refundację%20kosztów%20świadczeń%20zdrowotnych.docx.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Miło mi to słyszeć, w takim razie kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Malwarebytes możesz odinstalować.

Wszystko pomyślnie wykonane. Wygląda na to, że system doprowadzony do porządku. Jak podsumowujesz obecną sytuację?