picasso

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Sterownik bsdriver nakłada filtr na dysk twardy i jest konieczna specjalna komenda wypięcia tego filtra. Działanie to było prowadzone tu pomyślnie na forum w wielu tematach z tą infekcją i sterownik był usuwany "z palca". Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [34712 2016-02-06] () R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-06] (DotC United Inc) SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = C:\Program Files\Common Files\jvnqs0gz C:\ProgramData\Airtostrongs C:\ProgramData\ZWdMZ C:\Program Files (x86)\KMSPico 10.0.6 C:\Users\Sobie\AppData\Local\Tempfolder C:\Users\Sobie\AppData\LocalLow\Company C:\Users\Sobie\AppData\Roaming\gplyra C:\Users\Sobie\AppData\Roaming\IuwuoaFhgobj C:\Users\Sobie\Downloads\CCleaner_Setup.exe C:\uninst C:\Windows\system32\das C:\Windows\system32\gidi C:\Windows\system32\drivers\bsdriver.sys C:\Windows\system32\Drivers\cherimoya.sys C:\Windows\system32\Drivers\MPCKpt.sys C:\Windows\system32\Drivers\etc\hp.bak DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z zaległym Shortcut. Dołącz też plik fixlog.txt.

RegmagiK Registry Editor (wersja 32-bit) Strona domowa Platforma: Windows XP do Windows 11 32-bit i 64-bit Licencja: freeware RegmagiK - Alternatywny szybki edytor rejestru udostępniający wygodną nawigację po rejestrze, wyszukiwanie oraz edycję rejestru. RegmagiK rozszerza funkcjonalność znaną z regedit kilkoma udogodnieniami i unikatowymi funkcjami. Z tej puli należy wyliczyć: pasek narzędziowy i pasek adresów z funkcją autouzupełniania, szybkie wyszukiwanie i prezentowanie wyników wyszukiwania w osobnym panelu na spodzie okna, tworzenie skrótów na Pulpicie otwierających klucze rejestru, automatyczne inteligentne rozpoznawanie ścieżek plików i folderów w danych wartości (z kliku można otworzyć konkretną ścieżkę bezpośrednio w Eksploratorze Windows), odnośniki identyfikatorów GUID ("Go to definition..." i specjalne klikalne oznaczenia uruchamiające wyszukiwanie tych instancji), powiązanie nawigacyjne z oryginalnym regedit.exe (wybrany w RegmagiK klucz może zostać automatycznie otworzony w regedit). Dodatkowo, menu kontekstowe posiada różne opcje nieobecne w regedit, np.: kopiowanie / wycinanie / wklejanie kluczy i wartości, przejmowanie klucza na własność, wyszukiwanie na Google. Jest także możliwy zapis wybranego klucza do surowej gałęzi rejestru. Program ma dość siermiężny i mało nowoczesny interfejs z ikonkami wyglądającymi jak wersje 16-bit, ale w gruncie rzeczy jest to sprawa podrzędna. Darmową edycją jest tylko wersja 32-bit, natywna kompilacja 64-bit niestety płatna. Niemniej wersja 32-bit działa na systemie 64-bit i poprawnie odczytuje 64-bitową część rejestru. Nie wymaga instalacji. Aktualizacja: Program odciął kompatybilność z XP, choć nadal można pobrać wersję zgodną z tym systemem. Ponadto, informacja o darmowej wersji 32-bit jest teraz nieźle zamaskowana i niespójna. Na stronie domowej wyłącznie wzmianka o zakupach. Aczkolwiek po pobraniu wersji 32-bit oznaczonej jako zgodna z Windows 11 i jej uruchomieniu na tym systemie w okienku o programie widnieje napis: "Version: 4.10.7 Freeware for Windows XP 32-bit" (i nie ma odliczania triala jak w przypadku wersji 64-bit).

Tak, wszystko do instalacji, po każdej instalacji powtarzasz rundy z wyszukiwaniem. Może to długo trwać. Jest tak dużo do instalacji, gdyż system był golusieńki, w ogóle nie aktulizowany.

Tylko się upewnię: funkcjonowanie się poprawiło bez wykonywania operacji z czystym rozruchem? I na koniec: Skorzystaj z DelFix oraz zaktualizuj Adobe Reader XI (11.0.13) instalując najnowszą łatkę. Wszystko opisane tutaj: KLIK.

Fix FRST pomyślnie wykonany. Możesz przejść do dalszych kroków. I to koniec operacji.

1. Ostatni skrypt do FRST. Otwórz Notatnik i wklej: DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Wow6432Node\SimpleFiles Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Po jego pokazaniu: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Przeinstaluj Adobe Flash Player NPAPI Firefoxa, który naruszyłeś. Link do instalatora NPAPI także w w/w linku. To tyle.

Zasady działu: KLIK. Tu jest zakaz podpinania się. Wydzielone w osobny temat. Prócz problemu z PriceFountain, jest dodatkowy - w starcie powstało wiele obiektów wyglądających na jakieś inne malware. Operacje do przeprowadzenia: 1. Odinstaluj zbędny skaner Trojan Remover 6.9.3. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3AD3F8B1-31D4-49E1-AAAA-0BECA743CA35} - System32\Tasks\KatiSpacesuitsGnarlingV2 => Rundll32.exe BruitsFirewater.dll,main 7 1 Task: {B0F666C8-98BC-4521-86A8-839E036C11BF} - System32\Tasks\Price Fountain => C:\Users\Kati\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Kati\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Startup: C:\Users\Kati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\serdes-5.lnk [2016-02-06] HKU\S-1-5-21-282247486-3544188475-3799147128-1000\...\Run: [milliamp-2] => C:\ProgramData\milliamp-57\milliamp-02.exe [487424 2016-02-06] (Oxygen Software) HKU\S-1-5-21-282247486-3544188475-3799147128-1000\...\RunOnce: [xmitter-0] => C:\Users\Kati\AppData\Roaming\xmitter-54\xmitter-0.exe [736256 2016-02-06] (RealNetworks, Inc.) HKU\S-1-5-21-282247486-3544188475-3799147128-1000\...\Winlogon: [shell] C:\ProgramData\maxton-9\maxton-0.exe -1i,explorer.exe HKU\S-1-5-21-282247486-3544188475-3799147128-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\id RemoveDirectory: C:\ProgramData\isotope-08 RemoveDirectory: C:\ProgramData\maxton-9 RemoveDirectory: C:\ProgramData\milliamp-57 RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\Users\Kati\AppData\Local\SpacesuitsGnarling RemoveDirectory: C:\Users\Kati\AppData\Roaming\PriceFountain RemoveDirectory: C:\Users\Kati\AppData\Roaming\fission-19 RemoveDirectory: C:\Users\Kati\AppData\Roaming\serdes-9 RemoveDirectory: C:\Users\Kati\AppData\Roaming\xmitter-54 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins CMD: del /q "C:\Users\Kati\AppData\Roaming\Canon\MP Navigator EX V30\history\sc\hstr_*.lnk" CMD: del /q C:\Users\Kati\Downloads\adwcleaner*.exe CMD: del /q C:\Users\Kati\Downloads\installer.exe CMD: del /q C:\Users\Kati\Downloads\sh-remover*.exe CMD: del /q C:\Users\Kati\Downloads\trjsetup693*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń stamtąd adresy istartsurf.com + interia.pl. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Operacja przeprowadzona pomyślnie, a ubytki zostały zrekonstruowane. Adobe Flash Player 20 NPAPI przeinstalujesz zaś potem. Teraz: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy CMD: del /q C:\Users\lukasz.niszcz\Desktop\export*.reg Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

W instrukcji tworzenia raportu GMER jest wyraźnie zaznaczone jak zapisać raport, by powstało rozszerzenie *.txt a nie *.log (zabronione w załącznikach). Próbując rozwiązać problem pobierałeś program z czarnej listy - SpyHunter. Z daleka od niego. Do wykonania następujące działania: 1. Odinstaluj starsze wersje i zbędne programy: Adobe Flash Player 20 NPAPI (Firefox został odinstalowany), Adobe Shockwave Player 12.2 (starsza wersja), GeekBuddy (przemycony w instalacji COMODO), Java 8 Update 66 (64-bit) (starsza wersja), McAfee Security Scan Plus (przemycony sponsor instalacji Adobe). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B" CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 StartMenuInternet: (HKLM) OperaStable - Opera.exe StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-349823380-3586821361-4140115957-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {409A204D-1164-453D-8844-208071EC8E02} - System32\Tasks\{B5C60C13-9C2F-45FE-8A6D-24052C3A44F8} => pcalua.exe -a C:\Users\Łukasz\AppData\Roaming\DarkEra\Uninstaller.exe -c /Run /ePN:0D1T1C1J0E1C1T Task: {49D4BB84-418A-4274-B90D-EDE2886B1FCD} - \Microsoft\Windows\Setup\gwx\runappraiser -> Brak pliku Task: {5F5FC5E5-2FE6-4D9B-A65A-657066944244} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {66BF1CD1-801C-432E-8D55-D7036017CE0B} - System32\Tasks\HPCeeScheduleForŁukasz => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe Task: {6B3F7AC7-E0E7-4B3A-A888-A5B3C31056DE} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6C81B1C9-1EDE-4785-B1AC-E8B32DF143AB} - \task Update -> Brak pliku Task: {6E9A3B45-07B9-4A3C-8207-1E66B0323619} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {D534EE4D-818D-4568-BE14-4B233F713CD2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {E2543A82-EA87-4588-AD0F-9D9DC065B22E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {E2DCDC8F-3294-403B-9CDF-0204BAED4E08} - System32\Tasks\{9FFD3CB4-5DE5-4475-B774-FD94FDB7AACF} => pcalua.exe -a F:\AutorunArcanum.exe -d F:\ Task: C:\WINDOWS\Tasks\HPCeeScheduleForŁukasz.job => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-01-23] () R2 svcp; C:\WINDOWS\system32\Drivers\svcp64.sys [43800 2015-12-01] (Kurupira.net) S3 ETDSMBus; \SystemRoot\system32\DRIVERS\ETDSMBus.sys [X] C:\Program Files (x86)\RayDld C:\Program Files (x86)\SFK C:\Program Files (x86)\TDataDld C:\Program Files (x86)\yessearches-bnd C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\5WdM5 C:\ProgramData\7WdM7 C:\ProgramData\cWdMc C:\ProgramData\Microsoft\Windows\GameExplorer\{F1AB869D-89BC-4FC9-B966-FE7B566543D0} C:\Users\Łukasz\AppData\Local\Mozilla C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DarkEra.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkEra.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Łukasz\AppData\Roaming\Mozilla C:\Users\Łukasz\AppData\Roaming\TSv C:\Users\Łukasz\AppData\Roaming\WarThunder C:\Users\Łukasz\Downloads\SpyHunter_4 1 11 0_[ENG]_[Crack][Torrenty.org].torrent C:\Users\Łukasz\Downloads\SpyHunter-Installer.exe C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\pl.html C:\WINDOWS\system32\Drivers\EsgScanner.sys C:\WINDOWS\system32\Drivers\svcp64.sys DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Adware nabyte przypuszczalnie z jakiegoś portalu (np. dobreprogramy.pl): KLIK. Obiekt działa globalnie poprzez Harmonogram zadań (zadanie CanningsCakewalkV2), reklamy będą widoczne w dowolnej przeglądarce. Operacje do przeprowadzenia: 1. Odinstaluj poprzez Panel sterowania bardzo stare wersje: Adobe Flash Player ActiveX, Adobe Reader X (10.1.0) - Polish, Google Desktop. Ponadto, z poziomu Menu Start wywołaj deinstalację IObit Malware Fighter - program wątpliwej reputacji. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {9C4BB0AD-D4BD-4B83-9DCF-8A6CE830DBA6} - System32\Tasks\CanningsCakewalkV2 => Rundll32.exe CurvettingPredict.dll,main 7 1 <==== UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Szymek\AppData\Local\CanningsCakewalk RemoveDirectory: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Users\Szymek\Downloads\sh-remover.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Szymek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Problem powinien ustąpić.

Usunąłeś poprawne komponenty: HKLM\...\Run: [Apoint] => C:\Program Files\DellTPad\Apoint.exe [745288 2015-06-25] (Alps Electric Co., Ltd.) HKU\S-1-5-21-1659004503-920026266-725345543-24878\...\RunOnce: [uninstall C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64" HKU\S-1-5-21-1659004503-920026266-725345543-24878\...\RunOnce: [uninstall C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626" ShortcutTarget: vpngui.exe.lnk -> C:\Windows\Installer\{5FDC06BF-3D3D-4367-8FFB-4FAFCB61972D}\Icon09DB8A851.exe () FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF64_20_0_0_286.dll [2016-01-21] () FF Plugin-x32: @adobe.com/FlashPlayer -> C:\WINDOWS\SysWOW64\Macromed\Flash\NPSWF32_20_0_0_286.dll [2016-01-21] () R2 MlPatch; C:\Windows\system32\MlPatch.exe [2244912 2014-08-22] () R3 MkBusFilter; C:\Windows\system32\DRIVERS\MbmDeviceFilter.sys [50912 2015-08-03] () - Instalację Adobe Flash w Firefox - Wpis startowy Cisco Systems VPN Client (vpngui.exe.lnk) - Wpis startowy Dell odpowiedzialny za uruchamianie touchpad (Apoint) - Sterownik Dell Mobile Broadband (MkBusFilter) - Składnik Trigger External Graphics Family 15.05.1124.0179 (MlPatch). Popatrz w raporcie na składniki "Magic Control": HKLM\...\Run: [TUCCDUtil] => C:\Program Files (x86)\Mct Corp\UVTP100\Driver\TUCCDUTIL\TUCCD.exe [1892560 2015-11-24] (Magic Control Technology Corporation) R3 mctkmd; C:\Windows\system32\drivers\mctkmd64.sys [166608 2015-11-20] (Magic Control Technology Corporation) R0 mctkmdldr; C:\Windows\System32\drivers\mctkmdldr64.sys [19584 2011-04-08] (Magic Control Technology Corporation) S3 t2usb64; C:\Windows\system32\drivers\t2usb64.sys [462632 2015-11-30] (Magic Control Technology Corp.) 2015-12-29 15:52 - 2015-11-20 18:26 - 00166608 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\Drivers\mctkmd64.sys 2015-12-29 15:52 - 2015-11-19 12:05 - 00251632 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\mctux.dll 2015-12-29 15:52 - 2015-11-19 12:05 - 00251632 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\igdumdmx.dll 2015-12-29 15:52 - 2015-11-19 12:05 - 00203216 _____ (Magic Control Technology Corporation) C:\WINDOWS\SysWOW64\MCTU.dll 2015-12-29 15:52 - 2015-11-19 12:05 - 00203216 _____ (Magic Control Technology Corporation) C:\WINDOWS\SysWOW64\Igdumdmu.dll 2015-12-29 15:52 - 2014-08-22 17:10 - 02244912 _____ C:\WINDOWS\system32\mlpatch.exe 2015-12-29 15:52 - 2013-12-27 12:17 - 02215704 _____ (Magic Control Corp.) C:\WINDOWS\system32\MctKmdSvrx.exe 2015-12-29 15:52 - 2012-08-28 14:20 - 00313432 _____ C:\WINDOWS\system32\GManager.exe 2015-12-29 15:52 - 2012-03-02 15:49 - 00013440 _____ C:\WINDOWS\system32\Drivers\u3hpatch64.sys 2015-12-29 15:52 - 2011-04-08 16:38 - 00019584 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\Drivers\mctKmdldr64.sys 2015-12-29 15:52 - 2010-08-20 14:03 - 00336248 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\mctsetup64.dll 2015-12-29 15:47 - 2015-12-31 01:43 - 00000000 ____D C:\Program Files (x86)\Mct Corp Adobe Flash da się przeinstalować, natomiast reszta wymaga rekonstrukcji (przywrócenie plików i odbudowa wpisów startowych, o ile nie usunąłeś folderu C:\FRST z kopią zapasową rejestru). Do usunięcia są także inne rzeczy, np. zmodyfikowany przez adware skrót przeglądarki, martwe zadania w Harmonogramie pozostawione po notyfikatorze darmowej aktualizacji do Windows 10 oraz Media Center odinstalowanym przy aktualizacji. Czyli: 1. Odinstaluj Spybot - Search & Destroy. To przestarzały program, dziś mało użyteczny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\lukasz.niszcz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursearching.com/?type=sc&ts=1453129004&z=ebaf80af459dbc8bae475f8gfz9wec6g7o7teefe1z&from=exp1&uid=liteonitxlcm-256m3sx2x5xx7mmx256gb_tw0wkjr2550852c51502 U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKU\S-1-5-21-2387826781-902882918-947777316-500\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun Task: {02FC9FF5-8759-49FC-9CEB-686FC7FB5A4E} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {0CD6FF09-58A3-4B2C-927B-7528CED8B7A9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {0EC5C0BE-5CCC-4B19-ADE9-F00C2EA7A267} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {1259D7A2-134A-4A0B-908C-F038C08D8E12} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {1464FBD3-68B0-4567-B6EF-5EE5929FC180} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {1799C230-7D13-4C25-8026-F135FBC20A9E} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {334E3401-1738-40F6-8640-E30C76D98C3D} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {37491E6E-81B9-43CF-A4F9-0B054203ADC4} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3832A5E1-E6BF-45A2-BE4B-D535C92939D1} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3A61D3FB-1D1C-4F15-8D58-93B9E7778CC2} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {3AE0C5C2-9C2E-4BC7-B6CC-DF3D0425FE7D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {424A2DC0-88C0-4442-9079-43527CC810FE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {51B3CCB5-CE4E-4B7D-A028-EE914860072C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {5649A0FA-B3B2-4067-B809-00EA4D7A255E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {60D80493-221D-4FEE-8596-B67C84E6BD80} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {68F5A15E-57C5-4CA4-808A-B2F97A507886} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {71C3449B-4B84-4E11-8C49-84D6D84AA0F6} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {77591D06-86C6-4E4C-B6F2-46B5399D1082} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {88C0CB85-782F-4CA6-85E6-1136C50245DA} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {893EEC8C-003A-4C87-A0A9-F7869ACE79F7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {976FE15B-5248-4F51-8D5D-D8FF90FAFE65} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {97FA0725-3EEE-4BC3-8487-5BB07B2C9DB5} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {A305727A-EB4F-4751-8A99-43C9F27524C0} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B108752F-F16E-4BD5-BF31-66DC182F7830} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {B6410507-ECA5-4F14-B9D8-C34CADC25BD1} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {BDD6B031-47CB-4D01-973F-A4FF0FB3EE3B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {C102FEE8-0B5E-43DF-A756-0F125A3B9555} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {C390023C-5579-4319-9CB5-B0ECF3022579} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {D738B853-C2B8-4FFC-B73E-84ACE112FD17} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {DE29C916-A03A-4B72-856C-4D3FB22D1685} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {E7BC4C15-A7BD-4D5B-A6BB-EFE10E2A37EE} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {EC9853A0-423E-4202-9F71-938F67F86BE4} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {EEB31A48-A641-4B29-BBD5-26CFF758BFF0} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {F26EDAED-07CA-4403-89EE-8A6914E0F48A} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center RemoveDirectory: C:\Windows\ehome RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center RestoreQuarantine: C:\FRST\Quarantine\C\Windows\Installer\{5FDC06BF-3D3D-4367-8FFB-4FAFCB61972D}\Icon09DB8A851.exe.xBAD RestoreQuarantine: C:\FRST\Quarantine\C\Windows\system32\MlPatch.exe.xBAD RestoreQuarantine: C:\FRST\Quarantine\C\Windows\system32\DRIVERS\MbmDeviceFilter.sys.xBAD Reg: reg load HKLM\TEMP C:\FRST\Hives\SOFTWARE Reg: reg export HKLM\TEMP\Microsoft\Windows\CurrentVersion\Run C:\Users\lukasz.niszcz\Desktop\export1.reg Reg: reg unload HKLM\TEMP Reg: reg load HKLM\TEMP C:\FRST\Hives\SYSTEM Reg: reg export HKLM\TEMP\ControlSet001\Services\MlPatch C:\Users\lukasz.niszcz\Desktop\export2.reg Reg: reg export HKLM\TEMP\ControlSet001\Services\MkBusFilter C:\Users\lukasz.niszcz\Desktop\export3.reg Reg: reg unload HKLM\TEMP CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Na Pulpicie powstały trzy pliki export1.reg, export2.reg, export3.reg. Otwórz je do edycji w Notatniku. W pliku export1.reg zamień fragment w ścieżkach dostępu: HKEY_LOCAL_MACHINE\TEMP na HKEY_LOCAL_MACHINE\SOFTWARE W plikach export2.reg i export3.reg zamień: HKEY_LOCAL_MACHINE\TEMP na HKEY_LOCAL_MACHINE\SYSTEM Zapisz zmiany, następnie z prawokliku na wszystkie pliki opcja Scal. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nie. Do interpretacji logów nie ma programów. Jest niemożliwym skonstruować taki automat. Jest zbyt wiele czynników, które są poddawane analizie i po prostu jest wymagana określona wiedza o Windows i infekcjach.

Jak mówiłam, wszystko w porządku, nie ma żadnych oznak instalacji śmieci. A ten tajemniczy "TODO" to jest proces WildTangent Games preinstalowany na laptopach Acer. Usługa jest ustawiona na Automatycznym, więc będzie się próbowała uruchamiać. S2 GamesAppIntegrationService; C:\Program Files (x86)\WildTangent Games\App\GamesAppIntegrationService.exe [235008 2013-07-16] (TODO: ) [brak podpisu cyfrowego] PS. Twój nośnik instalacyjny Windows nie jest oczywiście "czysty", w rozumieniu, że producent dointegrował masę własnych aplikacji i "format" oznacza zrzucenie Windows już mocno przetworzonego przez producenta. Niektóre aplikacje są niepotrzebne. Np. do deinstalacji stary McAfee. W podsumowaniu, to wszystko można odinstalować (pomijając te aplikacje z których rzeczywiście korzystasz): ==================== Zainstalowane programy ====================== Acer Docs (HKLM-x32\...\{CA4FE8B0-298C-4E5D-A486-F33B126D6A0A}) (Version: 1.01.3006 - Acer Incorporated) Acer Media (HKLM-x32\...\{E9AF1707-3F3A-49E2-8345-4F2D629D0876}) (Version: 2.02.3104.3 - Acer Incorporated) Acer Photo (HKLM-x32\...\{B5AD89F2-03D3-4206-8487-018298007DD0}) (Version: 2.02.3104.6 - Acer Incorporated) Acer Portal (HKLM-x32\...\{A5AD0B17-F34D-49BE-A157-C8B3D52ACD13}) (Version: 2.02.3104 - Acer Incorporated) Acer Remote Files (HKLM\...\{13885028-098C-4799-9B71-27DAC96502D5}) (Version: 1.00.3007 - Acer Incorporated) CyberLink PowerDVD 12 (HKLM-x32\...\InstallShield_{B46BEA36-0B71-4A4E-AE41-87241643FA0A}) (Version: 12.0.3323.57 - CyberLink Corp.) eBay Worldwide (HKLM-x32\...\{91589413-6675-4C27-8AFC-EFB9103B90A5}) (Version: 2.4.0105 - OEM) Identity Card (HKLM-x32\...\{3D9CB654-99AD-4301-89C6-0D12A790767C}) (Version: 2.00.8100 - Acer Incorporated) Live Updater (HKLM-x32\...\{EE26E302-876A-48D9-9058-3129E5B99999}) (Version: 2.00.8100 - Acer Incorporated) McAfee LiveSafe – Internet Security (HKLM-x32\...\MSC) (Version: 12.8.397 - McAfee, Inc.) Microsoft Office (HKLM-x32\...\{90150000-0138-0409-0000-0000000FF1CE}) (Version: 15.0.4454.1510 - Microsoft Corporation) Nero BackItUp 12 Essentials OEM.a01 (HKLM-x32\...\{551AC8F2-FEA2-4B45-ACF7-C98681233CC9}) (Version: 12.5.01200 - Nero AG) Norton Online Backup (HKLM-x32\...\{E625FCA0-E43E-4D3B-92FF-4851308A0366}) (Version: 2.8.0.44 - Symantec Corporation) Office Addin (HKLM-x32\...\{6D2BBE1D-E600-4695-BA37-0B0E605542CC}) (Version: 2.02.2009 - Acer) WildTangent Games (HKLM-x32\...\WildTangent wildgames Master Uninstall) (Version: 1.0.4.0 - WildTangent)

Błąd WinThuster z tej samej kolekcji co reszta. Wygląda na to, że jest rozległe uszkodzenie rejestru. Do przywracania poprzedniej wersji rejestru służy właśnie Przywracanie systemu, które tu całkowicie odpada. Masz jednak jeszcze jedną kopię rejestru typu RegBack, która jest nieco starsza: LastRegBack: 2016-01-20 21:23 Spróbujmy ją zrzucić. Jeśli to skończy się niepowodzeniem, zostaje reinstalacja systemu. 1. Otwórz Notatnik i wklej w nim: LastRegBack: 2016-01-20 21:23 Plik zapisz pod nazwą fixlist.txt. Plik ten oraz FRST64.exe umieść na pendrive. 2. Uruchom FRST w środowisku WinRE: KLIK. Klik w Napraw (Fix), powstanie na pendrive plik fixlog.txt. 3. Uruchom ponownie Windows. Zrób nowe logi FRST (wliczając Addition i Shortcut). Dołącz fixlog.txt oraz wypowiedz się czy są zmiany.

Zamknąłeś, ale nie pobrałeś danych o procesie (do jakiego pliku na dysku się odnosił), więc pewnie on się znowu pojawi podczas uruchamiania określonej aplikacji. Poza tym, takie opowieści na podstawie obrazka są nieprecyzyjne. Do oceny procesów niedomyślnych służą logi FRST.

W raportach nie widać oznak infekcji (pomimo "podejrzanego" wyniku GMER). Skype typu Desktop został już odinstalowany, więc nie ma możliwości sprawdzenia jego ustawień (opcje "Kontrola dostępu do API"). PS. Możesz wykonać skrypt kosmetyczny usuwający szczątki Skype i inne drobnostki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {7945089E-D735-4AC5-9E12-FB2678592831} - System32\Tasks\{9F967DDE-9254-426D-8D20-102DC27586CE} => launchwinapp.exe hxxp://ui.skype.com/ui/0/7.17.0.105/en/abandoninstall?page=tsProgressBar Task: {FDC1914D-0E53-4D5F-B8E2-20C814926B9D} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-08-17] (Lenovo) C:\ProgramData\Skype C:\Users\dawid\AppData\Roaming\Skype EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Wg obrazka wszystko w porządku. "Runtime Broker" i "Store Broker" to natywne procesy systemowe powiązane z aplikacjami modern oraz Sklepem Windows. Pokki to preintegrowane na niektórych laptopach (np. Lenovo) aplikacje, pomijając że są kwestionowalnej jakości. A jeśli chodzi o "TODO" to jest to opis "bez opisu", pobierz właściwości z prawokliku i pokaż jaki jest plik docelowy. To co mówiłam wcześniej nie aplikuje się do Menedżera zadań o który Ci teraz chodzi.

Ale o jakich plikach mówisz? To co mi pokazywałeś wcześniej na obrazkach to pliki systemowe niezbędne do poprawnego działania Windows, a nie infekcja (infekcja była zupełnie gdzie indziej). Widoczne, jeśli w Opcjach folderów jest odznaczona opcja "Ukryj chronione pliki systemu operacyjnego".

Ten instalator SP1 to ja przecież podaję też w przyklejonym: KLIK. Ale mówię przecież, że zacznij nie od ręcznej instalacji SP1, tylko od uruchomienia kopleksowego Windows Update z poziomu systemu, bo może brakować łat które są wymogiem do instalacji SP1.

Nazwy raportów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum. Zasadnicze bieżące raporty są w folderze skąd uruchamiasz FRST, czyli w tym przypadku w katalogu Pobrane. Brak też trzeciego obowiązkowego raportu FRST Shortcut. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {5013556F-659E-4297-A91D-DB5AF7D33CC1} - System32\Tasks\Price Fountain => C:\Users\ABC\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {78589761-0C5C-44DF-A3B6-2EFE3E34EC70} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe Task: {B139C68B-7F46-4DA5-B988-9CB55CF042E5} - System32\Tasks\ABCAlateApsesV2 => Rundll32.exe CohortOverconscientious.dll,main 7 1 Task: {ECA2C614-3D93-479C-9B66-67B90EEA5A6E} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\ABC\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE BootExecute: autocheck autochk * sasnative64 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy C:\AVScanner.ini C:\Program Files (x86)\Opera C:\ProgramData\McAfee C:\Users\ABC\AppData\Local\AlateApses C:\Users\ABC\AppData\Local\Opera Software C:\Users\ABC\AppData\Local\Systweak C:\Users\ABC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\ABC\AppData\Roaming\Opera Software C:\Users\ABC\AppData\Roaming\Shortcut C:\Users\ABC\AppData\Roaming\Systweak C:\Users\ABC\AppData\Roaming\WarThunder C:\Users\ABC\Downloads\aspsetup.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition oraz Shortcut. Dołącz też plik fixlog.txt.

1. Nie sugeruję żadnej konkretnej marki, cokolwiek dobierzesz (darmowe lub komercyjne) z puli popularnych producentów będzie OK. Tu chodzi o to że posługujesz się starym programem sprzed 4 lat, co nie gwarantuje bezpieczeństwa. 2. Blokada sama zniknie, jeśli zainstalujesz pakiet SP1. Czyli uruchamiasz Windows Update, wyszukujesz aktualizacje, ładujesz wszystkie i ponawiasz operację aż do wyniku, że nie ma już nic do zainstalowania. Problem się pojawi wtedy, gdy się okaże, że Windows Update nie proponuje w ogóle SP1 do instalacji. I może tu być coś w tym rodzaju, bo stan Twoje Windows jest mocno podejrzany, zupełny brak aktualizacji.

Problemem jest infekcja DNS, ustawione izraelskie adresy: Tcpip\..\Interfaces\{123A6058-DD18-4832-B27A-2B8B4BA2CB90}: [NameServer] 199.203.131.145,82.163.143.167 Poza tym, są tu liczne inne odpadki adware, w tym zdewastowana przeglądarka Google Chrome - przekonwertowana przez adware do wersji "developerskiej" i jest konieczna jej pełna deinstalacja. I tak korzystasz z Opery. Adware nabyłeś w następujące sposoby: KLIK. O zgrozo, uruchamiałeś downloader także przy pobieraniu AdwCleaner, to nie jest poprawny plik ze strony domowej programu: 2016-01-23 11:51 - 2016-01-23 11:51 - 00001213 _____ C:\Users\MASTER\Desktop\Kontynuuj instalację AdwCleaner 5.003.lnk Ale dostarczone logi FRST nie są wiarygodne. Raport główny FRST.txt powstał przed użyciem AdwCleaner, co czyni go kompletnie nieaktualnym, gdyż to co widać w FRST było usuwane przez AdwCleaner. Wymagane zrobienie nowych logów FRST (wszystkich trzech).

1. Tak ma być. Program się samoczynnie usuwa i tworzy plik C:\delfix.txt z raportem akcji. Log ten można usunąć. 2. Mówiąc "blokada" miałam na myśli, że system bez zainstalowanego SP1 w ogóle nie otrzymuje żadnych aktualizacji. Musisz zainstalować SP1 i wszystkie inne aktualizacje z Windows Update.

Temat sprzątam, usuwam logi z OTL. Ten przestarzały program nie jest tu w ogóle już brany pod uwagę. DLLSuite to program wątpliwej reputacji! Przy jego udziale można zaszkodzić jeszcze bardziej. Do takich napraw na systemach Vista i nowszych służy systemowe narzędzie SFC: KLIK. Na razie nie podejmuj czynności naprawczych tą metodą. W systemie widać adware oraz zainstalowane kolejne wątpliwe skanery SpyHunter i YAC. Działania wstępne: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware i wątpliwe programy: BrowserAir, DLL Suite 9.0, QuickSearch, SearchModule, SpyHunter 4, YAC(Yet Another Cleaner!) 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut.

Skrypt pomyślnie wykonany. Ale tu chodzi przede wszystkim o użycie narzędzia msconfig i operację w karcie Usługi: najpierw Ukryj usługi Microsoftu + następnie Wyłącz wszystkie + restart systemu i podanie czy jest poprawa. Nawiasem mówiąc, jest niejasne dlaczego niczego nie widzisz w Menedżerze zadań, bo definitywnie są wpisy startowe, 5 pozycji, przy czym aktualizator AllPlayer już został wyłączony tą metodą: HKLM\...\Run: [RtHDVBg] => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1214608 2012-08-20] (Realtek Semiconductor) HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2916152 2012-08-21] (Synaptics Incorporated) HKU\S-1-5-21-1266647216-2071126190-593478351-1001\...\Run: [ALLUpdate] => C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe [3670472 2015-07-28] (ALLPlayer Group Ltd.) HKU\S-1-5-21-1266647216-2071126190-593478351-1001\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [8418584 2015-07-17] (Piriform Ltd) Startup: C:\Users\Agnieszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Powiadomienia monitorowania tuszu - HP Deskjet 1510 series.lnk [2016-02-06] ==================== MSCONFIG/TASK MANAGER - Wyłączone elementy == HKU\S-1-5-21-1266647216-2071126190-593478351-1001\...\StartupApproved\Run: => "ALLUpdate"