Miszel03

EDIT: Oczywiście bardzo dziękuje za dotychczasową pomoc i bardzo sie to przydało, komputer od razu lepiej funkcjonuje i nie mam tego przekorowania na google.

To najważniejsze, bo to moje główne zadanie, aby w tym dziale rozwiązywać problemy infekcyjne.

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe, a teraz już niepotrzebne) - KLIK. 

Możesz już również skasować punkty przywracania systemu, aby w przeszłości nie odtworzyć kopi ze szkodnikiem - KLIK. 

Teraz pozostało wyjaśnić Ci nieszczęsny error, więc tak: Ukmedia ma związek z aktywatorem Windows, a ja kompletnie nie wiem jak Ty kombinowałeś z tym aktywatorem, co robiłeś / usuwałeś, więc nie jestem w sanie Ci w tym pomóc.

OK.

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

Możesz również skasować punkty przywracania systemu, aby nie przywrócić przypadkowo szkodnika - KLIK.

W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja pustych wpisów (w tym wpisów CLSID), martwych usług, pustych skrótów LNK oraz szczątek po programach (głównie po przeglądarce FireFox).

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
R0 aswVmm; Brak ImagePath
S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X]
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X]
CustomCLSID: HKU\S-1-5-21-1637094009-3320285990-1007395668-1001_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\macie\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1637094009-3320285990-1007395668-1001_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\macie\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1637094009-3320285990-1007395668-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\macie\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku
Task: {9C001754-80DC-451F-9D01-D9E26EC19BAE} - System32\Tasks\ACC => C:\Program Files\DriverSetupUtility\FUB\FUB_Send.bat [2015-06-22] () 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks\Uninstall Lightworks.lnk
C:\Users\macie\Desktop\Nowy folder\Booking.com.lnk
C:\Users\macie\Desktop\Nowy folder\Boost into Gaming Mode.lnk
C:\Users\macie\Desktop\Nowy folder\Cool Edit Pro 2.1.lnk
C:\Users\macie\Desktop\Nowy folder\Game Booster 3.lnk
C:\Users\macie\Desktop\Nowy folder\Game Booster 4.lnk
C:\Users\macie\Desktop\Nowy folder\Gameforge Live.lnk
C:\Users\macie\Desktop\Nowy folder\LegendOnline.lnk
C:\Users\macie\Desktop\Nowy folder\Metin2.lnk
C:\Users\macie\Desktop\Nowy folder\Nero 2017.lnk
C:\Users\macie\Desktop\Nowy folder\SlimCleaner Plus.lnk
C:\Users\macie\Desktop\Nowy folder\Switch to Gaming Mode.lnk
C:\Users\macie\Desktop\Nowy folder\Transformice.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\macie\AppData\Local\Mozilla
C:\Users\macie\AppData\Roaming\Mozilla
C:\Users\macie\AppData\Roaming\Profiles
EmptyTemp:

Do kasacji:

PUP.Optional.OnlineIO, C:\PROGRAMDATA\Microleaves\Traffic Exchange, Brak akcji, [694], [335288],1.0.903
PUP.Optional.SpyHunter, C:\USERS\SCROP\DOWNLOADS\SH-REMOVER.EXE, Brak akcji, [1669], [331753],1.0.903

Z tym zrobisz co chcesz, bo chyba wiesz do czego to jest. 

Trojan.Boaxxe, C:\PROGRAM FILES (X86)\REMOVEWAT 2.2.7\WINDOWS_ACTIVATON.EXE, Brak akcji, [80], [357022],1.0.903


HackTool.WindowsActivation, C:\USERS\SCROP\DOWNLOADS\WIN7 ACTIVATOR  V2.2.2 + WAT FIX.ZIP, Brak akcji, [11906], [153298],1.0.903

Podsumuj obecną sytuację.

Prosiłem tylko o raport z opcji Szukaj, a nie z opcji Szukaj i Oczyść. AdwCleaner to dobre narzędzie, ale trzeba z nim uważać. Niech już będzie.

1. Nie skasowałeś poniższego profilu, więc zrób to. 

C:\Users\Scrop\AppData\Local\Google\Chrome\User Data\ChromeDefaultData 

2. Wykonaj pełne skanowanie programem Malwarebytes (masz zainstalowany) i dostarcz napisz co wykrył, niczego nie usuwając. 

Nawet po reinstalacji występuję ten błąd?

Na pasku AdwCleaner wybierz Plik następnej z rozwiniętego Menu kliknij w Odinstaluj i dopiero po tym działaniu pobierz AdwCleaner z podaj strony i przeprowadź pkt. 3. 

KVRT znalazł jeszcze 126 zagrożeń. Niemal wszystkie z opisem Email-Worm.Win32.Brontok.q. Tylko jeden z opisem Trojan.Win32.Patched.hp. Wszystkie Brontok usunąłem, a trojana wyleczyłem (screen).

Rozumiem, że skan był powtarzany do wyniku zero infekcji (tak jak prosiłem)?

Jeśli tak to poproszę o podsumowanie sytuacji z Twojej strony.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"= 0x0000000000 (0)

A to nadal siedzi, u mnie w systemie klucz wygląda tak: 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]


"EnableFirewall"= 0x0000000001 (1)

Poczekam z tym na picasso.

Tak jak myślałem, to dla mnie trochę czarna magia, więc ja tutaj na nic. Temat przenoszę do działu Windows 7, skąd najlepiej poczekasz na odpowiedź moderatora działu mgrzeg.

OK.

System jest zainfekowany infekcją automatycznie uruchamiającą się na starcie systemu (i to jest chyba powiązane z aktywatorem Windows), ponad to system boryka się z problem ataku nowoczesnego adware (wariant Adware.Elex) m.in modyfikującego usługę Themes dodając niedomyślne ustawienie DependOnService (i to przypuszczalnie wykryło narzędzie SFC), przez które nie działa Ci w ogóle usługa kompozycji Aero. Gdyby tego było mało to przeglądarka Google Chrome jest zarażona prefabrykowanym profilem adware, więc nic dziwnego, że występują przekierowywania. 
 
Odnosząc się do pytania o format to uważam, że jest on całkowicie zbędny, bo z aktualną wiedzą jestem w stanie to wszystko wyleczyć. Zaczynamy. 
 
1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
Winlogon\Notify\tukiloz-x32: C:\Users\Scrop\AppData\Local\tukiloz.dll [X]
HKU\S-1-5-21-2482533737-4085879092-1565963746-1000\...\Run: [YPRPack] => regsvr32.exe C:\Users\Scrop\AppData\Local\YPRPack\zxqtilzk.dll HKU\S-1-5-18\...\Run: [] => 0
HKLM\...\Providers\tvuf9a0e: C:\Program Files (x86)\Curoydrerguse Log\local64spl.dll [292352 2016-12-30] ()
C:\Program Files (x86)\Curoydrerguse Log
ShellExecuteHooks: Brak nazwy - {9C8A04D0-CAA5-11E6-96ED-64006A5CFC23} -  -> Brak pliku
R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [820224 2016-12-31] () [brak podpisu cyfrowego] S2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [X]
S3 DrvAgent64; \??\C:\Windows\SysWOW64\Drivers\DrvAgent64.SYS [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
Task: {DFEEDDCE-338E-4D17-842C-96F1D9BB434E} - System32\Tasks\8n48o5q70422 => Rundll32.exe "C:\ProgramData\8n48o5q70422\8n48o5q70422.dll",noqlaf ShortcutWithArgument: C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Scrop\AppData\Local\Mozilla
C:\Users\Scrop\AppData\Roaming\Mozilla
C:\Users\Scrop\AppData\Roaming\Profiles
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s
EmptyTemp:

Raporty zostały wygenerowane przy użyciu przestarzałej wersji FRST, bo z lipca 2016 roku. 

Wygeneruj nowe przy użyciu najnowszej wersji narzędzia - KLIK. 

 Ja ze swojej strony życzę Szczęśliwego Nowego Roku 2017 dużoooo zdrowia, pogody ducha i kasiorki  

Dziękuję i wzajmenie!     

W raportach brak oznak infekcji, w spoilerze dziania poboczne, raczej nie mające związku z problemem. 

Temat przenoszę do działu Windows 10. 

CloseProcesses:
CreateRestorePoint:
U3 idsvc; Brak ImagePath
Task: {06664D31-D30D-4746-9B52-EB6BF8B1F2FD} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {1F12D9ED-71C7-43CD-A4A5-44CF76FA172D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {20286234-3059-4DF6-8BB5-E4188B182F59} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {3301D009-C590-4FD8-A843-8E5C4E0EEF26} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku 
Task: {4370FDE9-C768-4510-95CA-C4E9633532A8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {45AEEE54-6F04-4E0C-800C-2DB64AF5CEBB} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {4EF341D6-4087-46B4-BE7C-2E8CF3ABD60A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {6ED0CE8E-66C9-4E62-A97D-6CA8BEE5D554} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {7536C3A2-149A-40DE-9244-CD76D42B124D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {9FF6D684-2463-400B-AD7A-635A9C02993D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {E4E7932E-1C4D-4F25-8F79-100B2392E772} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {FA5C7F75-DE46-4931-82E3-F52FD2BC3BA5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
HKLM\...\regfile\DefaultIcon: C:\Users\Public\Documents\Stardock\IconPackager\Fear\Fearomone Icon 55.ico,0 
HKLM\...\batfile\DefaultIcon: C:\Users\Public\Documents\Stardock\IconPackager\Fear\Fearomone Icon 48.ico,0 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kodeki\Codec Settings.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kodeki\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kodec Pack\Codec Settings.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Photosmart All-In-One 3200 series\Dezinstalacja.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Photosmart All-In-One 3200 series\Dodaj urządzenie.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Photosmart All-In-One 3200 series\Pomoc.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Photosmart All-In-One 3200 series\Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Photosmart All-In-One 3200 series\Rejestracja produktu.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Photosmart All-In-One 3200 series\Witryna pomocy technicznej.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ashampoo\Ashampoo Burning Studio 18\Backup Extractor.lnk
C:\Users\Kamilo\AppData\Roaming\Microsoft\Word\Ela%20Szumotalska%20cv%202015304692724290736869\Ela%20Szumotalska%20cv%202015.rtf.lnk
C:\Users\Kamilo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\AVG 2015.lnk
C:\Users\Kamilo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Centrum obsługi HP.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Kamilo\AppData\Local\Mozilla
C:\Users\Kamilo\AppData\Roaming\Mozilla
C:\Users\Kamilo\AppData\Roaming\Profiles
EmptyTemp:

Poprawione, spróbuj teraz. 

Dziś po zakończeniu skanowania za pomocą FSS program Malwarebytes wyświetlił komunikat o wykryciu potencjalnego zagrożenia: PUM.Optional.DisableShowHelp, który podlega obecnie kwarantannie.

OK.

Dodatkowo: w zakładce Historia w Malwarebytes mam 66 wpisów poddanych kwarantannie. Czy mam usunąć wszystkie pliki?

Tak, ale one mają zostać usunięte z kwarantanny, a nie przywrócone z kwarantanny. 

Jedziemy dalej z sprzątaniem:

1. Otwórz Notatnik w nim wklej:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"= 0x0000000001 (1)
"DisableNotifications"= 0x0000000000 (0)
"DoNotAllowExceptions"= 0x0000000000 (0)

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal.

2. Uruchom SystemLook i w oknie programu wklej:

:reg

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /s

Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.

3. Wydaje mi się, że MBAM nie widzi dokładnie wszystkich plików, więc poproszę o skorzystanie teraz z innego skanera czyli Kaspersky Virus Removal Tool (KVRT). Skonfiguruj go na pełny skan dysku C i usuń za jego pomocą to co wykryje od Brontok. Skan powtarzaj do wyniku zero. 

Thanks Luuk, but it's also your birthday, so happy birthday and (for all user) good luck in 2017  

Malwarebytes unieszkodliwiła infekcje, teraz trzeba po niej posprzątać. 
 

Pobierz najnowszą wersję FRST, starą skasuj. Na nowej wersji:

1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-19\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
HKU\S-1-5-19\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
HKU\S-1-5-19\...\Policies\Explorer: [NoSMMyPictures] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsMenu] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsHistory] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoStartBanner] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-19\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-20\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
HKU\S-1-5-20\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
HKU\S-1-5-20\...\Policies\Explorer: [NoSMMyPictures] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsMenu] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsHistory] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoStartBanner] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-20\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMMyPictures] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsMenu] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsHistory] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoStartBanner] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-18\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
HKU\S-1-5-18\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
HKU\S-1-5-18\...\Policies\Explorer: [NoSMMyPictures] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsMenu] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsHistory] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoStartBanner] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-18\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoResolveSearch] 1
AlternateShell: cmd-brontok.exe
U4 Alerter; Brak ImagePath
S4 IntelIde; Brak ImagePath
U4 Messenger; Brak ImagePath
S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X]
U1 WS2IFSL; Brak ImagePath
2016-12-18 15:04 - 2016-12-18 15:04 - 0000051 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe"
EmptyTemp:

2. Zrób raport z Farbar Service Scanner. 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [119808 2016-12-27] () [brak podpisu cyfrowego]
R2 Gubed_WMI; C:\Program Files (x86)\Gubed_WMI\Gubed_WMI.exe [109056 2016-12-23] () [brak podpisu cyfrowego]
RemoveDirectory: C:\Program Files (x86)\Gubed
RemoveDirectory: C:\Program Files (x86)\Gubed_WMI
RemoveDirectory: C:\Program Files (x86)\Firefox
2016-12-23 21:27 - 2016-12-27 12:33 - 00000000 ____D C:\Program Files (x86)\WinArcher
FirewallRules: [{5145B3CC-166D-4AE2-A1D4-991BA844CB76}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{DC0EE9A9-BFF5-4994-9664-A01DE16608DF}] => C:\Program Files (x86)\Firefox\Firefox.exe
EmptyTemp:
DeleteQuarantine:

Coś mi się wydaję, że Tryb Awaryjny również jest uszkodzony. 

W trybie normalnym uruchom SystemLook i w oknie programu wklej:

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot /s

Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.

To jest dział, który zajmuję się leczeniem systemu pod kątem infekcji, a Tobie chyba nie dokończa o to chodzi (jeśli tak to napisz PW do mnie, albo do Rucka, a przeniesiemy temat do odpowiedniego działu na forum).

Jeżeli jednak się mylę to dostarcz zestaw raportów FRST oraz GMER.

Raporty zostały wygenerowane przy użyciu bardzo starej wersji narzędzia FRST (sprzed przeszło siedmiuset dni!). 

Pobierz nową wersję (KLIK) i jeszcze raz zrób nowy zestaw raportów. 

W raportach brak oznak infekcji. Czysto. 

P.S. Tworzyłem przed chwilą post strictum z pewnym pytaniem i nadzieją iż mój post nie zostanie usunięty przez niego - a tu niespodziewanie wyskoczył dziwny blue-screen z odliczaniem po którym wystąpił reset.

Ciekawe bo nie zdarzało się to w ogóle wcześniej xD System nie ma żadnych symptomów infekcji, co najwyżej lekko zwolnił i zużywa więcej RAMu niż gdy był świeży, ale to też kwestia Win DAZ.. który utknął przy którejś aktualizacji.. Obecnie "ważnych" jest 52.

I tu pytanie, a nawet dwa.

Może nie wkleję bezpośredniego linku to nie otrzymam warna i postu w koszu - Czy skrypt (UUAWU) udostępniany przez użytkownika m4s na forum winclub jest bezpieczny/użyteczny i czy może przyczynić się do usunięcia pakietu który blokuje aktualizacje ?

Możesz podać link, tak będzie łatwiej.

Wszystkie pliki wykryte przez MBAM daj do usuwania i wygeneruj nowe raporty. 

Polecamy się na przyszłość 

Raporty wyglądają już w porządku, a skoro piszesz, że problem ustąpił to będziemy kończyć.

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK oraz zapoznaj się z tematem jak nie dać się oprogramowaniu typu adware / PUP - KLIK.
 

mam pytanie czy teraz będę mógł się zalogować na konto chrome?

Masz wszystko opisane na tej stronie: KLIK. 

W raportach widać już tylko szczątki po adware / PUP. Podany błąd sugeruje, że była tutaj infekcja, podstawiająca prefabrykowany profil / rozszerzenie do przeglądarki Google Chrome.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku
U0 aswVmm; Brak ImagePath
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
U0 Partizan; system32\drivers\Partizan.sys [X]
Task: {6566CA38-1877-4183-8ADC-91807A77773D} - \Driver Booster SkipUAC (Andrzej) -> Brak pliku 
Task: {BAFC3BEF-1058-4795-9C25-048BE16A4C30} - \{082BAA99-0040-47ED-8E00-5A1B7455D8F1} -> Brak pliku 
WMI_ActiveScriptEventConsumer_ASEC: 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gwent [GOG.com]\Gwent.lnk
C:\User\Andrzej\AppData\Local\kemgadeojglibflomicgfeopkdfflnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Andrzej\AppData\Local\Mozilla
C:\Users\Andrzej\AppData\Roaming\Mozilla
C:\Users\Andrzej\AppData\Roaming\Profiles
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.