picasso

Jak mówiłam, wszystko w porządku, nie ma żadnych oznak instalacji śmieci. A ten tajemniczy "TODO" to jest proces WildTangent Games preinstalowany na laptopach Acer. Usługa jest ustawiona na Automatycznym, więc będzie się próbowała uruchamiać. S2 GamesAppIntegrationService; C:\Program Files (x86)\WildTangent Games\App\GamesAppIntegrationService.exe [235008 2013-07-16] (TODO: ) [brak podpisu cyfrowego] PS. Twój nośnik instalacyjny Windows nie jest oczywiście "czysty", w rozumieniu, że producent dointegrował masę własnych aplikacji i "format" oznacza zrzucenie Windows już mocno przetworzonego przez producenta. Niektóre aplikacje są niepotrzebne. Np. do deinstalacji stary McAfee. W podsumowaniu, to wszystko można odinstalować (pomijając te aplikacje z których rzeczywiście korzystasz): ==================== Zainstalowane programy ====================== Acer Docs (HKLM-x32\...\{CA4FE8B0-298C-4E5D-A486-F33B126D6A0A}) (Version: 1.01.3006 - Acer Incorporated) Acer Media (HKLM-x32\...\{E9AF1707-3F3A-49E2-8345-4F2D629D0876}) (Version: 2.02.3104.3 - Acer Incorporated) Acer Photo (HKLM-x32\...\{B5AD89F2-03D3-4206-8487-018298007DD0}) (Version: 2.02.3104.6 - Acer Incorporated) Acer Portal (HKLM-x32\...\{A5AD0B17-F34D-49BE-A157-C8B3D52ACD13}) (Version: 2.02.3104 - Acer Incorporated) Acer Remote Files (HKLM\...\{13885028-098C-4799-9B71-27DAC96502D5}) (Version: 1.00.3007 - Acer Incorporated) CyberLink PowerDVD 12 (HKLM-x32\...\InstallShield_{B46BEA36-0B71-4A4E-AE41-87241643FA0A}) (Version: 12.0.3323.57 - CyberLink Corp.) eBay Worldwide (HKLM-x32\...\{91589413-6675-4C27-8AFC-EFB9103B90A5}) (Version: 2.4.0105 - OEM) Identity Card (HKLM-x32\...\{3D9CB654-99AD-4301-89C6-0D12A790767C}) (Version: 2.00.8100 - Acer Incorporated) Live Updater (HKLM-x32\...\{EE26E302-876A-48D9-9058-3129E5B99999}) (Version: 2.00.8100 - Acer Incorporated) McAfee LiveSafe – Internet Security (HKLM-x32\...\MSC) (Version: 12.8.397 - McAfee, Inc.) Microsoft Office (HKLM-x32\...\{90150000-0138-0409-0000-0000000FF1CE}) (Version: 15.0.4454.1510 - Microsoft Corporation) Nero BackItUp 12 Essentials OEM.a01 (HKLM-x32\...\{551AC8F2-FEA2-4B45-ACF7-C98681233CC9}) (Version: 12.5.01200 - Nero AG) Norton Online Backup (HKLM-x32\...\{E625FCA0-E43E-4D3B-92FF-4851308A0366}) (Version: 2.8.0.44 - Symantec Corporation) Office Addin (HKLM-x32\...\{6D2BBE1D-E600-4695-BA37-0B0E605542CC}) (Version: 2.02.2009 - Acer) WildTangent Games (HKLM-x32\...\WildTangent wildgames Master Uninstall) (Version: 1.0.4.0 - WildTangent)

Błąd WinThuster z tej samej kolekcji co reszta. Wygląda na to, że jest rozległe uszkodzenie rejestru. Do przywracania poprzedniej wersji rejestru służy właśnie Przywracanie systemu, które tu całkowicie odpada. Masz jednak jeszcze jedną kopię rejestru typu RegBack, która jest nieco starsza: LastRegBack: 2016-01-20 21:23 Spróbujmy ją zrzucić. Jeśli to skończy się niepowodzeniem, zostaje reinstalacja systemu. 1. Otwórz Notatnik i wklej w nim: LastRegBack: 2016-01-20 21:23 Plik zapisz pod nazwą fixlist.txt. Plik ten oraz FRST64.exe umieść na pendrive. 2. Uruchom FRST w środowisku WinRE: KLIK. Klik w Napraw (Fix), powstanie na pendrive plik fixlog.txt. 3. Uruchom ponownie Windows. Zrób nowe logi FRST (wliczając Addition i Shortcut). Dołącz fixlog.txt oraz wypowiedz się czy są zmiany.

Zamknąłeś, ale nie pobrałeś danych o procesie (do jakiego pliku na dysku się odnosił), więc pewnie on się znowu pojawi podczas uruchamiania określonej aplikacji. Poza tym, takie opowieści na podstawie obrazka są nieprecyzyjne. Do oceny procesów niedomyślnych służą logi FRST.

W raportach nie widać oznak infekcji (pomimo "podejrzanego" wyniku GMER). Skype typu Desktop został już odinstalowany, więc nie ma możliwości sprawdzenia jego ustawień (opcje "Kontrola dostępu do API"). PS. Możesz wykonać skrypt kosmetyczny usuwający szczątki Skype i inne drobnostki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {7945089E-D735-4AC5-9E12-FB2678592831} - System32\Tasks\{9F967DDE-9254-426D-8D20-102DC27586CE} => launchwinapp.exe hxxp://ui.skype.com/ui/0/7.17.0.105/en/abandoninstall?page=tsProgressBar Task: {FDC1914D-0E53-4D5F-B8E2-20C814926B9D} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-08-17] (Lenovo) C:\ProgramData\Skype C:\Users\dawid\AppData\Roaming\Skype EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Wg obrazka wszystko w porządku. "Runtime Broker" i "Store Broker" to natywne procesy systemowe powiązane z aplikacjami modern oraz Sklepem Windows. Pokki to preintegrowane na niektórych laptopach (np. Lenovo) aplikacje, pomijając że są kwestionowalnej jakości. A jeśli chodzi o "TODO" to jest to opis "bez opisu", pobierz właściwości z prawokliku i pokaż jaki jest plik docelowy. To co mówiłam wcześniej nie aplikuje się do Menedżera zadań o który Ci teraz chodzi.

Ale o jakich plikach mówisz? To co mi pokazywałeś wcześniej na obrazkach to pliki systemowe niezbędne do poprawnego działania Windows, a nie infekcja (infekcja była zupełnie gdzie indziej). Widoczne, jeśli w Opcjach folderów jest odznaczona opcja "Ukryj chronione pliki systemu operacyjnego".

Ten instalator SP1 to ja przecież podaję też w przyklejonym: KLIK. Ale mówię przecież, że zacznij nie od ręcznej instalacji SP1, tylko od uruchomienia kopleksowego Windows Update z poziomu systemu, bo może brakować łat które są wymogiem do instalacji SP1.

Nazwy raportów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum. Zasadnicze bieżące raporty są w folderze skąd uruchamiasz FRST, czyli w tym przypadku w katalogu Pobrane. Brak też trzeciego obowiązkowego raportu FRST Shortcut. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {5013556F-659E-4297-A91D-DB5AF7D33CC1} - System32\Tasks\Price Fountain => C:\Users\ABC\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {78589761-0C5C-44DF-A3B6-2EFE3E34EC70} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe Task: {B139C68B-7F46-4DA5-B988-9CB55CF042E5} - System32\Tasks\ABCAlateApsesV2 => Rundll32.exe CohortOverconscientious.dll,main 7 1 Task: {ECA2C614-3D93-479C-9B66-67B90EEA5A6E} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\ABC\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE BootExecute: autocheck autochk * sasnative64 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy C:\AVScanner.ini C:\Program Files (x86)\Opera C:\ProgramData\McAfee C:\Users\ABC\AppData\Local\AlateApses C:\Users\ABC\AppData\Local\Opera Software C:\Users\ABC\AppData\Local\Systweak C:\Users\ABC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\ABC\AppData\Roaming\Opera Software C:\Users\ABC\AppData\Roaming\Shortcut C:\Users\ABC\AppData\Roaming\Systweak C:\Users\ABC\AppData\Roaming\WarThunder C:\Users\ABC\Downloads\aspsetup.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition oraz Shortcut. Dołącz też plik fixlog.txt.

1. Nie sugeruję żadnej konkretnej marki, cokolwiek dobierzesz (darmowe lub komercyjne) z puli popularnych producentów będzie OK. Tu chodzi o to że posługujesz się starym programem sprzed 4 lat, co nie gwarantuje bezpieczeństwa. 2. Blokada sama zniknie, jeśli zainstalujesz pakiet SP1. Czyli uruchamiasz Windows Update, wyszukujesz aktualizacje, ładujesz wszystkie i ponawiasz operację aż do wyniku, że nie ma już nic do zainstalowania. Problem się pojawi wtedy, gdy się okaże, że Windows Update nie proponuje w ogóle SP1 do instalacji. I może tu być coś w tym rodzaju, bo stan Twoje Windows jest mocno podejrzany, zupełny brak aktualizacji.

Problemem jest infekcja DNS, ustawione izraelskie adresy: Tcpip\..\Interfaces\{123A6058-DD18-4832-B27A-2B8B4BA2CB90}: [NameServer] 199.203.131.145,82.163.143.167 Poza tym, są tu liczne inne odpadki adware, w tym zdewastowana przeglądarka Google Chrome - przekonwertowana przez adware do wersji "developerskiej" i jest konieczna jej pełna deinstalacja. I tak korzystasz z Opery. Adware nabyłeś w następujące sposoby: KLIK. O zgrozo, uruchamiałeś downloader także przy pobieraniu AdwCleaner, to nie jest poprawny plik ze strony domowej programu: 2016-01-23 11:51 - 2016-01-23 11:51 - 00001213 _____ C:\Users\MASTER\Desktop\Kontynuuj instalację AdwCleaner 5.003.lnk Ale dostarczone logi FRST nie są wiarygodne. Raport główny FRST.txt powstał przed użyciem AdwCleaner, co czyni go kompletnie nieaktualnym, gdyż to co widać w FRST było usuwane przez AdwCleaner. Wymagane zrobienie nowych logów FRST (wszystkich trzech).

1. Tak ma być. Program się samoczynnie usuwa i tworzy plik C:\delfix.txt z raportem akcji. Log ten można usunąć. 2. Mówiąc "blokada" miałam na myśli, że system bez zainstalowanego SP1 w ogóle nie otrzymuje żadnych aktualizacji. Musisz zainstalować SP1 i wszystkie inne aktualizacje z Windows Update.

Temat sprzątam, usuwam logi z OTL. Ten przestarzały program nie jest tu w ogóle już brany pod uwagę. DLLSuite to program wątpliwej reputacji! Przy jego udziale można zaszkodzić jeszcze bardziej. Do takich napraw na systemach Vista i nowszych służy systemowe narzędzie SFC: KLIK. Na razie nie podejmuj czynności naprawczych tą metodą. W systemie widać adware oraz zainstalowane kolejne wątpliwe skanery SpyHunter i YAC. Działania wstępne: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware i wątpliwe programy: BrowserAir, DLL Suite 9.0, QuickSearch, SearchModule, SpyHunter 4, YAC(Yet Another Cleaner!) 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut.

Skrypt pomyślnie wykonany. Ale tu chodzi przede wszystkim o użycie narzędzia msconfig i operację w karcie Usługi: najpierw Ukryj usługi Microsoftu + następnie Wyłącz wszystkie + restart systemu i podanie czy jest poprawa. Nawiasem mówiąc, jest niejasne dlaczego niczego nie widzisz w Menedżerze zadań, bo definitywnie są wpisy startowe, 5 pozycji, przy czym aktualizator AllPlayer już został wyłączony tą metodą: HKLM\...\Run: [RtHDVBg] => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1214608 2012-08-20] (Realtek Semiconductor) HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2916152 2012-08-21] (Synaptics Incorporated) HKU\S-1-5-21-1266647216-2071126190-593478351-1001\...\Run: [ALLUpdate] => C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe [3670472 2015-07-28] (ALLPlayer Group Ltd.) HKU\S-1-5-21-1266647216-2071126190-593478351-1001\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [8418584 2015-07-17] (Piriform Ltd) Startup: C:\Users\Agnieszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Powiadomienia monitorowania tuszu - HP Deskjet 1510 series.lnk [2016-02-06] ==================== MSCONFIG/TASK MANAGER - Wyłączone elementy == HKU\S-1-5-21-1266647216-2071126190-593478351-1001\...\StartupApproved\Run: => "ALLUpdate"

Temat przenoszę do działu Windows pod zmienionym tytułem, bo "zarobaczenia" tu brak. Nie ma oznak czynnej infekcji, tylko mini-szczątki adware, co nie ma żadnego wpływu na kondycję i nie tu leży problem. 1. W spoilerze szybkie doczyszczanie szczątków i wpisów pustych. Nie powinno to wpłynąć na poprawę stanu Windows. 2. Jeśli rzecz o kondycji, to rozpocznij od kompleksowej aktualizacji systemu. To goły Windows 7 bez SP1 i reszty: Platform: Microsoft Windows 7 Starter (X86) Język: Polski (Polska) Internet Explorer Wersja 9 (Domyślna przeglądarka: FF) I jak sam zaznaczasz, statystyki sprzętowe są tu słabe, co ogranicza pole dywagacji: ==================== Statystyki pamięci =========================== Procesor: Intel® Atom™ CPU N570 @ 1.66GHz Procent pamięci w użyciu: 61% Całkowita pamięć fizyczna: 1011.87 MB Dostępna pamięć fizyczna: 386.01 MB Całkowita pamięć wirtualna: 2035.87 MB Dostępna pamięć wirtualna: 1149.53 MB

Temat przenoszę. To nie jest infekcja, problemem jest uszkodzenie struktury danych na urządzeniu. Na pendrive są tylko te dwa foldery, o których mówisz. I to zapewne FOUND.000 zajmuje miejsce i gromadzi przekonwertowane naprawą checkdisk szczątki danych zasadniczych. Podobny temat: KLIK.

Wszystko zrobione. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Z raportów FRST nic kompletnie nie wynika. Temat przenoszę na diagnostykę do działu Hardware. Dołącz dane wymagane działem (KLIK) oraz pliki DMP (KLIK). Wg FRST poniższy plik jest tym w którym było nagrywanie: 2016-01-27 15:40 - 2015-11-28 14:35 - 453815213 _____ C:\Windows\MEMORY.DMP PS. W spoilerze doczyszczanie szczątków adware oraz wpisów pustych, zupełnie bez związku ze zgłoszonym problemem. Skrypt usunie także ten błąd z Dziennika zdarzeń: Dziennik System: ============= Error: (01/28/2016 09:35:11 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą TerminusSubs.

Wszystko gładko poszło. Kończymy: Skasuj z Downloads folder logi z FRST. Następnie zastosuj DelFix, a na koniec wyczyść foldery Przywracania systemu: KLIK.

Adware pomyślnie usunięte. Został problem z AVG. Jest możliwe, że deinstalację AVG Web TuneUp naruszył używany wcześniej AdwCleaner. Skorzystaj z narzędzia AVG Remover: KLIK. W narzędziu wybierz do usuwania tylko ten element, pomijając inne składniki AVG, o ile program wykryje go.

Na temat pobierania z dobrychprogramów: KLIK. Wg raportu widać, że stało się to przy pobieraniu "Preferred Filter Tweaker for Windows 7" - na przyszłość strona domowa bez pośredników ładujących adware: KLIK. AdwCleaner w tym konkretnym przypadku nie pomaga, bo nie posiada detekcji elementów tego szczególnego adware w Harmonogramie zadań Windows. Problem u Ciebie produkuje wpis RockforMotetsMinistryV2. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {00BBB5EE-BE39-48C6-B20D-7C6E65B0CC16} - System32\Tasks\RockforMotetsMinistryV2 => Rundll32.exe BrookedOveranalyzing.dll,main 7 1 Task: {0DB87349-7245-4A18-9B4E-03D395513065} - \Optimize Start Menu Cache Files-S-1-5-21-2412946247-1837993513-3895125520-1001 -> No File Task: {8DC877D7-632E-4F4E-81D9-B28364F24B9B} - System32\Tasks\Plugin Logo => Rundll32.exe "C:\Users\Rockfor\AppData\Local\Plugin Logo\zBin\PluginLogo.dll",#3 Task: {BCC1142A-E663-4F54-94D6-A810059915FF} - \WPD\SqmUpload_S-1-5-21-2412946247-1837993513-3895125520-1001 -> No File Task: {D0964EBB-7367-4CF1-8160-876F30F7949B} - System32\Tasks\AsrKM => C:\Program Files (x86)\ASRock Utility\Key Master\AsrKM.exe S3 AIDA64Driver; \??\C:\Program Files (x86)\FinalWire\AIDA64 Extreme\kerneld.x64 [X] S3 cpuz138; \??\C:\Users\Rockfor\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\Run: [Fatal1tySTU] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day0] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day1] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day2] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day3] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day4] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day5] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day6] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\MountPoints2: {3bc1d1b6-4922-11e5-826b-faec7023c987} - "H:\setup.exe" HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\MountPoints2: {d29070fb-5157-11e5-826c-e77552244ed3} - "E:\Startme.exe" HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Rockfor\AppData\Local\MotetsMinistry C:\Users\Rockfor\Desktop\Continue Preferred Filter Tweaker for Windows 7 installation.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

Tytułowy komunikat produkuje adware PriceFountain w Harmonogramie zadań Windows. Adware zostało nabyte z portalu dobreprogramy.pl: KLIK. Akcje do wdrożenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware PriceFountain, Update for PriceFountain. Jeśli będzie jakiś błąd deinstalacji, kontynuuj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {8BA1FBBE-CF8B-4B14-AE4A-EAA5F2B8EF81} - System32\Tasks\MVQStereoscopicGroundingV2 => Rundll32.exe CopulativelyCarpentry.dll,main 7 1 S4 WinDivert1.1; Brak ImagePath SearchScopes: HKU\S-1-5-21-4145475615-949717121-2128735600-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\Users\MVQ\AppData\Roaming\PriceFountain C:\Users\MVQ\Downloads\*-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaprezentuj tylko plik Addition. Dołącz też plik fixlog.txt. Problem powinien ustąpić.

Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare wersje Adobe AIR, Gadu-Gadu 10, Java 7 Update 51, Java™ 6 Update 30, JavaFX 2.1.0 oraz jeden z programów zabezpieczających (albo wszystko od AVG, albo Kaspersky Total Security), bo to za dużo. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {E4D0393E-931B-42A8-B865-C392C66A7FA7} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{4253EA5A-8409-49D3-BC9C-74E7F36143E6}.exe Task: {EEE10054-221B-4D2E-BF73-5E5F524841B7} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {F45DF754-106D-475C-93E4-BFE3FBB3EBA3} - System32\Tasks\GallopingNumericsV2 => Rundll32.exe MonocytesRemediable.dll,main 7 1 Task: {FB2C844D-3B34-4B8E-8799-4C7E19422CDD} - System32\Tasks\Price Fountain => C:\Users\Iras\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{4253EA5A-8409-49D3-BC9C-74E7F36143E6}.exe Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Iras\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE HKU\S-1-5-21-77867466-755365321-263658617-1001\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB S3 AthBTPort; system32\DRIVERS\btath_flt.sys [X] S3 BTATH_A2DP; system32\drivers\btath_a2dp.sys [X] S3 BTATH_BUS; system32\DRIVERS\btath_bus.sys [X] S3 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [X] S3 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [X] S3 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [X] S3 BtFilter; system32\DRIVERS\btfilter.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] GroupPolicyUsers\S-1-5-21-77867466-755365321-263658617-1001\User: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1443277762&z=7c0281305df4ee38834f85dg6z2zfc3o9mdmemfqao&from=cor&uid=hitachixhts547564a9e384_j2180053hnrswdhnrswdx&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1443277762&z=7c0281305df4ee38834f85dg6z2zfc3o9mdmemfqao&from=cor&uid=hitachixhts547564a9e384_j2180053hnrswdhnrswdx&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1443277762&z=7c0281305df4ee38834f85dg6z2zfc3o9mdmemfqao&from=cor&uid=hitachixhts547564a9e384_j2180053hnrswdhnrswdx&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1443277762&z=7c0281305df4ee38834f85dg6z2zfc3o9mdmemfqao&from=cor&uid=hitachixhts547564a9e384_j2180053hnrswdhnrswdx&q={searchTerms} URLSearchHook: HKU\S-1-5-21-77867466-755365321-263658617-1000 - (No Name) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No File SearchScopes: HKLM -> DefaultScope value is missing SearchScopes: HKLM-x32 -> DefaultScope value is missing BHO: No Name -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> No File BHO-x32: No Name -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File CHR HKU\S-1-5-21-77867466-755365321-263658617-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mhfdcmehmjcclgopdodkjdicohagipid] - C:\Users\Iras\AppData\Local\CRE\mhfdcmehmjcclgopdodkjdicohagipid.crx CHR HKLM-x32\...\Chrome\Extension: [mhfdcmehmjcclgopdodkjdicohagipid] - C:\Users\Iras\AppData\Local\CRE\mhfdcmehmjcclgopdodkjdicohagipid.crx DisableService: Internet Manager. RunOuc DisableService: PLAY ONLINE. RunOuc DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ServiceLayer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NokiaSuite.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PC Suite Tray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\RayDld RemoveDirectory: C:\Users\Iras\AppData\Local\GallopingNumerics RemoveDirectory: C:\Users\Iras\AppData\Local\Lenovo RemoveDirectory: C:\Users\Iras\AppData\Local\Mozilla RemoveDirectory: C:\Users\Iras\AppData\Roaming\Mozilla C:\ProgramData\Atheros\Device link\74-2f-68-b5-67-1d\*.lnk C:\Users\Guest\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Guest\Desktop\Budzik.lnk C:\Users\Iras\AppData\Roaming\Microsoft\Office\Niedawny\zadanie BO.LNK C:\Users\Iras\Desktop\Iraas\AVG 2014.lnk C:\Users\Iras\Desktop\Iraas\Google Earth.lnk C:\Users\Iras\Desktop\Iraas\katalog\Nowy folder (2)\Ireneusz Czernik- Cegła\Nowy folder (2)\Google Chrome.lnk C:\Users\Iras\Desktop\Iraas\katalog\Nowy folder (2)\Skype.lnk C:\Users\Iras\Downloads\sh-remover.exe C:\Users\UpdatusUser\Desktop\*.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Iras\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer (x86)\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Podstawowa przyczyna spowolnienia to brak miejsca na dysku. Twoje statystyki są bardzo cienkie: Drive c: () (Fixed) (Total:60 GB) (Free:3.14 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] To jest także za mało dla Windows Update, z tym że tu pogrążyłeś się dodatkowo: Dziennik System: ============= Error: (02/05/2016 01:15:09 PM) (Source: Microsoft-Windows-LanguagePackSetup) (EventID: 1001) (User: ZARZĄDZANIE NT) Description: Nie można uruchomić kreatora instalacji pakietu językowego. Uruchom ponownie system i spróbuj uruchomić ponownie kreatora. Error: (02/05/2016 01:15:09 PM) (Source: Microsoft-Windows-LanguagePackSetup) (EventID: 1000) (User: ZARZĄDZANIE NT) Description: Inicjacja klienta CBS nie powiodła się. Ostatni błąd: 0x80070422 Wg raportu FRST wyłączyłeś za pomocą msconfig kluczową usługę Windows, niezbędną do wykonywania aktualizacji: MSCONFIG\Services: TrustedInstaller => 3 Przy okazji, instalacja DAEMON Tools jest uszkodzona, sterownik SPTD nie uruchamia się: Error: (02/05/2016 01:15:05 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: sptd Error: (02/05/2016 01:14:16 PM) (Source: sptd) (EventID: 4) (User: ) Description: Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Starsza wersja Avast, stare programy wątpliwego producenta IOBit i niezbyt zadbany system. Wstępnie: 1. W msconfig przywróć start usług: Dysk wirtualny, Instalator modułów Windows. 2. Odinstaluj stare programy: Acrobat.com, Adobe Acrobat 5.0 CE, Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Flash Player 13 Plugin, Adobe Reader X (10.1.16), Advanced SystemCare 8, Game Assistant 2 Beta, IObit Malware Fighter, IObit Uninstaller, Java 7 Update 55, Java SE Development Kit 7 Update 7, Java 6 Update 31, JavaFX 2.1.1, ManageMyMobile, Mozilla Firefox 26.0 (x86 pl), Mozilla Maintenance Service, Smart Defrag 2, Surfing Protection, Vividas Player Plugin v4.1, vSharetv, Windows Media Player Firefox Plugin Ogólnie też przewertuj listę i odinstaluj wszystko czego nie używasz, by zwolnić miejsce na dysku. Zaś Avast wymień najnowszą wersją. 3. W spoilerze skrypt usuwający wpisy szczątkowe i śmieci oraz czyszczący Tempy. Uwzględniam też obiekty Firefox, zakładając że go odinstalowałeś w punkcie 2. 4. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń gałąź Dzienniki systemu Windows i z prawokliku opróżnij Aplikacja oraz System. Zresetuj Windows, by nagrały się nowe błędy. 5. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: w sekcji Filtrowanie odznacz pole Usługi, poza tym zaznacz pole Addition. Dołącz też plik fixlog.txt ze spoilera. Wypowiedz się czy notujesz poprawę.

Dodam: O tym kto jest uprawniony do pomocy w tym dziale jest w zasadach działu. Dodatkowo powstał przyklejony na zgłaszanie tematów bez odpowiedzi (to w tym temacie należało zgłosić, że temat nadal aktualny). W systemie jest zainstalowany Revealer Keylogger Free. Czy to celowa instalacja?

Najwyraźniej prowadziłaś przed użyciem skryptu dodatkowe operacje, pojawił się m.in. MBAM (usuwa YAC), co zmieniło bieg wydarzeń. Wyniki skryptu FRST się nie zgadzają. Skrypt FRST nie znalazł komponentów YAC, a rzeczywiście zniknęły. Drobne poprawki: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF Plugin: @java.com/DTPlugin,version=10.5.0 -> C:\WINDOWS\system32\npDeployJava1.dll [2012-10-18] (Oracle Corporation) FF Plugin-x32: @java.com/DTPlugin,version=10.5.0 -> C:\WINDOWS\SysWOW64\npDeployJava1.dll [2012-10-18] (Oracle Corporation) DisableService: McComponentHostServiceSony DisableService: PLAY ONLINE. RunOuc removeDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Agnieszka\AppData\Roaming\Elex-tech RemoveDirectory: C:\Users\Agnieszka\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Agnieszka\Downloads\adwcleaner_5.032.exe CMD: del /q C:\Users\Agnieszka\Downloads\ql9lrwjr.exe CMD: del /q C:\Users\Agnieszka\Downloads\HPSupportSolutionsFramework-12.0.30.219.exe CMD: del /q C:\Users\Agnieszka\Downloads\SpyHunterCleaner.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Obecnie w raporcie nie widac nic konkretnego. Sprawdź czy problemy występują w środowisku tzw. "czystego rozruchu": KLIK.