picasso

Temat przenoszę do działu Windows pod zmienionym tytułem, bo "zarobaczenia" tu brak. Nie ma oznak czynnej infekcji, tylko mini-szczątki adware, co nie ma żadnego wpływu na kondycję i nie tu leży problem. 1. W spoilerze szybkie doczyszczanie szczątków i wpisów pustych. Nie powinno to wpłynąć na poprawę stanu Windows. 2. Jeśli rzecz o kondycji, to rozpocznij od kompleksowej aktualizacji systemu. To goły Windows 7 bez SP1 i reszty: Platform: Microsoft Windows 7 Starter (X86) Język: Polski (Polska) Internet Explorer Wersja 9 (Domyślna przeglądarka: FF) I jak sam zaznaczasz, statystyki sprzętowe są tu słabe, co ogranicza pole dywagacji: ==================== Statystyki pamięci =========================== Procesor: Intel® Atom™ CPU N570 @ 1.66GHz Procent pamięci w użyciu: 61% Całkowita pamięć fizyczna: 1011.87 MB Dostępna pamięć fizyczna: 386.01 MB Całkowita pamięć wirtualna: 2035.87 MB Dostępna pamięć wirtualna: 1149.53 MB

Temat przenoszę. To nie jest infekcja, problemem jest uszkodzenie struktury danych na urządzeniu. Na pendrive są tylko te dwa foldery, o których mówisz. I to zapewne FOUND.000 zajmuje miejsce i gromadzi przekonwertowane naprawą checkdisk szczątki danych zasadniczych. Podobny temat: KLIK.

Wszystko zrobione. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Z raportów FRST nic kompletnie nie wynika. Temat przenoszę na diagnostykę do działu Hardware. Dołącz dane wymagane działem (KLIK) oraz pliki DMP (KLIK). Wg FRST poniższy plik jest tym w którym było nagrywanie: 2016-01-27 15:40 - 2015-11-28 14:35 - 453815213 _____ C:\Windows\MEMORY.DMP PS. W spoilerze doczyszczanie szczątków adware oraz wpisów pustych, zupełnie bez związku ze zgłoszonym problemem. Skrypt usunie także ten błąd z Dziennika zdarzeń: Dziennik System: ============= Error: (01/28/2016 09:35:11 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą TerminusSubs.

Wszystko gładko poszło. Kończymy: Skasuj z Downloads folder logi z FRST. Następnie zastosuj DelFix, a na koniec wyczyść foldery Przywracania systemu: KLIK.

Adware pomyślnie usunięte. Został problem z AVG. Jest możliwe, że deinstalację AVG Web TuneUp naruszył używany wcześniej AdwCleaner. Skorzystaj z narzędzia AVG Remover: KLIK. W narzędziu wybierz do usuwania tylko ten element, pomijając inne składniki AVG, o ile program wykryje go.

Na temat pobierania z dobrychprogramów: KLIK. Wg raportu widać, że stało się to przy pobieraniu "Preferred Filter Tweaker for Windows 7" - na przyszłość strona domowa bez pośredników ładujących adware: KLIK. AdwCleaner w tym konkretnym przypadku nie pomaga, bo nie posiada detekcji elementów tego szczególnego adware w Harmonogramie zadań Windows. Problem u Ciebie produkuje wpis RockforMotetsMinistryV2. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {00BBB5EE-BE39-48C6-B20D-7C6E65B0CC16} - System32\Tasks\RockforMotetsMinistryV2 => Rundll32.exe BrookedOveranalyzing.dll,main 7 1 Task: {0DB87349-7245-4A18-9B4E-03D395513065} - \Optimize Start Menu Cache Files-S-1-5-21-2412946247-1837993513-3895125520-1001 -> No File Task: {8DC877D7-632E-4F4E-81D9-B28364F24B9B} - System32\Tasks\Plugin Logo => Rundll32.exe "C:\Users\Rockfor\AppData\Local\Plugin Logo\zBin\PluginLogo.dll",#3 Task: {BCC1142A-E663-4F54-94D6-A810059915FF} - \WPD\SqmUpload_S-1-5-21-2412946247-1837993513-3895125520-1001 -> No File Task: {D0964EBB-7367-4CF1-8160-876F30F7949B} - System32\Tasks\AsrKM => C:\Program Files (x86)\ASRock Utility\Key Master\AsrKM.exe S3 AIDA64Driver; \??\C:\Program Files (x86)\FinalWire\AIDA64 Extreme\kerneld.x64 [X] S3 cpuz138; \??\C:\Users\Rockfor\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\Run: [Fatal1tySTU] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day0] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day1] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day2] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day3] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day4] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day5] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day6] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\MountPoints2: {3bc1d1b6-4922-11e5-826b-faec7023c987} - "H:\setup.exe" HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\MountPoints2: {d29070fb-5157-11e5-826c-e77552244ed3} - "E:\Startme.exe" HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Rockfor\AppData\Local\MotetsMinistry C:\Users\Rockfor\Desktop\Continue Preferred Filter Tweaker for Windows 7 installation.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

Tytułowy komunikat produkuje adware PriceFountain w Harmonogramie zadań Windows. Adware zostało nabyte z portalu dobreprogramy.pl: KLIK. Akcje do wdrożenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware PriceFountain, Update for PriceFountain. Jeśli będzie jakiś błąd deinstalacji, kontynuuj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {8BA1FBBE-CF8B-4B14-AE4A-EAA5F2B8EF81} - System32\Tasks\MVQStereoscopicGroundingV2 => Rundll32.exe CopulativelyCarpentry.dll,main 7 1 S4 WinDivert1.1; Brak ImagePath SearchScopes: HKU\S-1-5-21-4145475615-949717121-2128735600-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\Users\MVQ\AppData\Roaming\PriceFountain C:\Users\MVQ\Downloads\*-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaprezentuj tylko plik Addition. Dołącz też plik fixlog.txt. Problem powinien ustąpić.

Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare wersje Adobe AIR, Gadu-Gadu 10, Java 7 Update 51, Java™ 6 Update 30, JavaFX 2.1.0 oraz jeden z programów zabezpieczających (albo wszystko od AVG, albo Kaspersky Total Security), bo to za dużo. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {E4D0393E-931B-42A8-B865-C392C66A7FA7} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{4253EA5A-8409-49D3-BC9C-74E7F36143E6}.exe Task: {EEE10054-221B-4D2E-BF73-5E5F524841B7} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {F45DF754-106D-475C-93E4-BFE3FBB3EBA3} - System32\Tasks\GallopingNumericsV2 => Rundll32.exe MonocytesRemediable.dll,main 7 1 Task: {FB2C844D-3B34-4B8E-8799-4C7E19422CDD} - System32\Tasks\Price Fountain => C:\Users\Iras\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{4253EA5A-8409-49D3-BC9C-74E7F36143E6}.exe Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Iras\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE HKU\S-1-5-21-77867466-755365321-263658617-1001\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB S3 AthBTPort; system32\DRIVERS\btath_flt.sys [X] S3 BTATH_A2DP; system32\drivers\btath_a2dp.sys [X] S3 BTATH_BUS; system32\DRIVERS\btath_bus.sys [X] S3 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [X] S3 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [X] S3 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [X] S3 BtFilter; system32\DRIVERS\btfilter.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] GroupPolicyUsers\S-1-5-21-77867466-755365321-263658617-1001\User: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1443277762&z=7c0281305df4ee38834f85dg6z2zfc3o9mdmemfqao&from=cor&uid=hitachixhts547564a9e384_j2180053hnrswdhnrswdx&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1443277762&z=7c0281305df4ee38834f85dg6z2zfc3o9mdmemfqao&from=cor&uid=hitachixhts547564a9e384_j2180053hnrswdhnrswdx&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1443277762&z=7c0281305df4ee38834f85dg6z2zfc3o9mdmemfqao&from=cor&uid=hitachixhts547564a9e384_j2180053hnrswdhnrswdx&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1443277762&z=7c0281305df4ee38834f85dg6z2zfc3o9mdmemfqao&from=cor&uid=hitachixhts547564a9e384_j2180053hnrswdhnrswdx&q={searchTerms} URLSearchHook: HKU\S-1-5-21-77867466-755365321-263658617-1000 - (No Name) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No File SearchScopes: HKLM -> DefaultScope value is missing SearchScopes: HKLM-x32 -> DefaultScope value is missing BHO: No Name -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> No File BHO-x32: No Name -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File CHR HKU\S-1-5-21-77867466-755365321-263658617-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mhfdcmehmjcclgopdodkjdicohagipid] - C:\Users\Iras\AppData\Local\CRE\mhfdcmehmjcclgopdodkjdicohagipid.crx CHR HKLM-x32\...\Chrome\Extension: [mhfdcmehmjcclgopdodkjdicohagipid] - C:\Users\Iras\AppData\Local\CRE\mhfdcmehmjcclgopdodkjdicohagipid.crx DisableService: Internet Manager. RunOuc DisableService: PLAY ONLINE. RunOuc DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ServiceLayer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NokiaSuite.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PC Suite Tray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\RayDld RemoveDirectory: C:\Users\Iras\AppData\Local\GallopingNumerics RemoveDirectory: C:\Users\Iras\AppData\Local\Lenovo RemoveDirectory: C:\Users\Iras\AppData\Local\Mozilla RemoveDirectory: C:\Users\Iras\AppData\Roaming\Mozilla C:\ProgramData\Atheros\Device link\74-2f-68-b5-67-1d\*.lnk C:\Users\Guest\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Guest\Desktop\Budzik.lnk C:\Users\Iras\AppData\Roaming\Microsoft\Office\Niedawny\zadanie BO.LNK C:\Users\Iras\Desktop\Iraas\AVG 2014.lnk C:\Users\Iras\Desktop\Iraas\Google Earth.lnk C:\Users\Iras\Desktop\Iraas\katalog\Nowy folder (2)\Ireneusz Czernik- Cegła\Nowy folder (2)\Google Chrome.lnk C:\Users\Iras\Desktop\Iraas\katalog\Nowy folder (2)\Skype.lnk C:\Users\Iras\Downloads\sh-remover.exe C:\Users\UpdatusUser\Desktop\*.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Iras\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer (x86)\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Podstawowa przyczyna spowolnienia to brak miejsca na dysku. Twoje statystyki są bardzo cienkie: Drive c: () (Fixed) (Total:60 GB) (Free:3.14 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] To jest także za mało dla Windows Update, z tym że tu pogrążyłeś się dodatkowo: Dziennik System: ============= Error: (02/05/2016 01:15:09 PM) (Source: Microsoft-Windows-LanguagePackSetup) (EventID: 1001) (User: ZARZĄDZANIE NT) Description: Nie można uruchomić kreatora instalacji pakietu językowego. Uruchom ponownie system i spróbuj uruchomić ponownie kreatora. Error: (02/05/2016 01:15:09 PM) (Source: Microsoft-Windows-LanguagePackSetup) (EventID: 1000) (User: ZARZĄDZANIE NT) Description: Inicjacja klienta CBS nie powiodła się. Ostatni błąd: 0x80070422 Wg raportu FRST wyłączyłeś za pomocą msconfig kluczową usługę Windows, niezbędną do wykonywania aktualizacji: MSCONFIG\Services: TrustedInstaller => 3 Przy okazji, instalacja DAEMON Tools jest uszkodzona, sterownik SPTD nie uruchamia się: Error: (02/05/2016 01:15:05 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: sptd Error: (02/05/2016 01:14:16 PM) (Source: sptd) (EventID: 4) (User: ) Description: Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Starsza wersja Avast, stare programy wątpliwego producenta IOBit i niezbyt zadbany system. Wstępnie: 1. W msconfig przywróć start usług: Dysk wirtualny, Instalator modułów Windows. 2. Odinstaluj stare programy: Acrobat.com, Adobe Acrobat 5.0 CE, Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Flash Player 13 Plugin, Adobe Reader X (10.1.16), Advanced SystemCare 8, Game Assistant 2 Beta, IObit Malware Fighter, IObit Uninstaller, Java 7 Update 55, Java SE Development Kit 7 Update 7, Java 6 Update 31, JavaFX 2.1.1, ManageMyMobile, Mozilla Firefox 26.0 (x86 pl), Mozilla Maintenance Service, Smart Defrag 2, Surfing Protection, Vividas Player Plugin v4.1, vSharetv, Windows Media Player Firefox Plugin Ogólnie też przewertuj listę i odinstaluj wszystko czego nie używasz, by zwolnić miejsce na dysku. Zaś Avast wymień najnowszą wersją. 3. W spoilerze skrypt usuwający wpisy szczątkowe i śmieci oraz czyszczący Tempy. Uwzględniam też obiekty Firefox, zakładając że go odinstalowałeś w punkcie 2. 4. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń gałąź Dzienniki systemu Windows i z prawokliku opróżnij Aplikacja oraz System. Zresetuj Windows, by nagrały się nowe błędy. 5. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: w sekcji Filtrowanie odznacz pole Usługi, poza tym zaznacz pole Addition. Dołącz też plik fixlog.txt ze spoilera. Wypowiedz się czy notujesz poprawę.

Dodam: O tym kto jest uprawniony do pomocy w tym dziale jest w zasadach działu. Dodatkowo powstał przyklejony na zgłaszanie tematów bez odpowiedzi (to w tym temacie należało zgłosić, że temat nadal aktualny). W systemie jest zainstalowany Revealer Keylogger Free. Czy to celowa instalacja?

Najwyraźniej prowadziłaś przed użyciem skryptu dodatkowe operacje, pojawił się m.in. MBAM (usuwa YAC), co zmieniło bieg wydarzeń. Wyniki skryptu FRST się nie zgadzają. Skrypt FRST nie znalazł komponentów YAC, a rzeczywiście zniknęły. Drobne poprawki: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF Plugin: @java.com/DTPlugin,version=10.5.0 -> C:\WINDOWS\system32\npDeployJava1.dll [2012-10-18] (Oracle Corporation) FF Plugin-x32: @java.com/DTPlugin,version=10.5.0 -> C:\WINDOWS\SysWOW64\npDeployJava1.dll [2012-10-18] (Oracle Corporation) DisableService: McComponentHostServiceSony DisableService: PLAY ONLINE. RunOuc removeDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Agnieszka\AppData\Roaming\Elex-tech RemoveDirectory: C:\Users\Agnieszka\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Agnieszka\Downloads\adwcleaner_5.032.exe CMD: del /q C:\Users\Agnieszka\Downloads\ql9lrwjr.exe CMD: del /q C:\Users\Agnieszka\Downloads\HPSupportSolutionsFramework-12.0.30.219.exe CMD: del /q C:\Users\Agnieszka\Downloads\SpyHunterCleaner.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Obecnie w raporcie nie widac nic konkretnego. Sprawdź czy problemy występują w środowisku tzw. "czystego rozruchu": KLIK.

Temat przenoszę do działu Windows. To nie jest problem infekcji, tylko uszkodzeń Windows. Notuję następujące defekty: 1. System przeciążony nadmiarem programów zabezpieczających, działają równolegle Avast i McAfee Internet Security Suite. McAfee masowo zgłasza błędy własnych komponentów (wliczając brak informacji w rejestrze): Dziennik Aplikacja: ================== Error: (02/01/2016 11:55:30 PM) (Source: McLogEvent) (EventID: 5046) (User: ZARZĄDZANIE NT) Description: The McShield scanning service cannot find any configuration in the registry Dziennik System: ============= Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee Anti-Spam Service z powodu następującego błędu: %%1053 Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Anti-Spam Service. Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee Platform Services z powodu następującego błędu: %%1053 Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Platform Services. Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee VirusScan Announcer z powodu następującego błędu: %%1053 Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee VirusScan Announcer. Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee CSP Service z powodu następującego błędu: %%1053 Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee CSP Service. Error: (02/01/2016 11:58:35 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee Home Network z powodu następującego błędu: %%1053 Error: (02/01/2016 11:58:35 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Home Network. 2. W Dzienniku zdarzeń kolejne masowe błędy relatywne do uszkodzonych danych rejestracji produktu Office: Error: (02/01/2016 11:54:09 PM) (Source: CVHSVC) (EventID: 100) (User: ) Description: Tylko informacje. Nie można ukończyć akcji. Spróbuj wykonać ją ponownie. Jeśli problem będzie się powtarzać, skontaktuj się z Pomocą techniczną firmy Microsoft. Error: (02/01/2016 11:54:09 PM) (Source: CVHSVC) (EventID: 100) (User: ) Description: Tylko informacje. Error: exception in main loop CoCreateInstance failed : HR: 0x80040154 ErrorCode: 0x0 Error: (02/01/2016 11:54:09 PM) (Source: CVHSVC) (EventID: 100) (User: ) Description: Tylko informacje. Product registration is corrupted for {90140011-0066-0415-0000-0000000FF1CE} Error: (02/01/2016 11:54:09 PM) (Source: CVHSVC) (EventID: 100) (User: ) Description: Tylko informacje. Error: Product {90140011-0066-0415-0000-0000000FF1CE} found in the registry but SoftGrid doesn't know about it, skipping... Error: (02/01/2016 11:54:09 PM) (Source: CVHSVC) (EventID: 100) (User: ) Description: Tylko informacje. Product registration is corrupted for {90140011-0066-0415-0000-0000000FF1CE} Error: (02/01/2016 11:54:09 PM) (Source: CVHSVC) (EventID: 100) (User: ) Description: Tylko informacje. Error: Product {90140011-0066-0415-0000-0000000FF1CE} found in the registry but SoftGrid doesn't know about it, skipping... 3. Ubytki plików Windows, które albo są prawdziwymi brakami, albo są uszkodzone Zmienne środowiskowe. ShellIconOverlayIdentifiers-x32: [EnhancedStorageShell] -> {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} => Brak pliku ShellIconOverlayIdentifiers-x32: [SharingPrivate] -> {08244EE6-92F0-47f2-9FC9-929BAA2E7235} => Brak pliku 4. Na dodatek w celu rozwiązania problemu były stosowane pewne programy, które mogły pogorszyć sprawę. WinThruster - niepożądany program instalowany metodami "PUP", usuwany przez AdwCleaner, nie wiadomo czy nie zbroił dodatkowych naruszeń. Dial-a-fix - program przeznaczony dla XP a nie Windows 7... Czy przypadkiem nie czyściłeś czymś rejestru przed wystąpieniem uszkodzeń? Skala zjawisk naruszeń wygląda na dużą, nie jest wykluczone że nie da się tego naprawić "punktowo", bo uszkodzeń może być więcej niż sugeruje to bardzo limitowany FRST. W tej sytuacji proponowanym rozwiązaniem byłoby Przywracanie systemu do daty, gdy system jeszcze działał. Tylko tu istnieje podejrzenie, że nie ma takiej możliwości. W Twoim spisie widać już trzykrotnie podjęte próby odwracania: ==================== Punkty Przywracania systemu ========================= 26-01-2016 15:31:38 Windows Update 30-01-2016 14:44:26 Operacja przywracania 31-01-2016 16:20:56 Instalator modułów systemu Windows 31-01-2016 21:11:57 Operacja przywracania 31-01-2016 21:38:59 Removed Norton Online Backup 31-01-2016 21:41:26 Operacja przywracania 31-01-2016 22:33:28 Removed Surfer 8 01-02-2016 20:42:27 Instalator modułów systemu Windows 01-02-2016 21:11:55 Instalator modułów systemu Windows Czy punkt z 26 stycznia to właśnie ten którego próbowałeś?

Z tego co rozumiem, ten "keylogger" był w pełni jawny, tzn. pokazał się po instalacji, więc nie sądzę, że było jakieś ciche nagrywanie danych. Skrypt wykonany. Na zakończenie skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

SpyHunter to program-naciągacz. W raportach nie widać jawnych oznak infekcji. Nasuwa się jakaś mocno zaszyta modyfikacja (np. w plikach zasobów przeglądarek). Poproszę o materiały do ręcznej analizy. Skopiuj na Pulpit poniższe foldery: C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\Opera C:\Users\Michau\AppData\Local\Google\Chrome C:\Users\Michau\AppData\Roaming\Opera Software Spakuj do ZIP, shostuj gdzieś i wyślij mi link do paczki na PW. Analiza może potrwać.

W raportach nie widać oznak czynnej infekcji, ani śladów wymienionego programu. Jeśli nikt inny nie miał dostępu do komputera, nie wiem w jaki sposób program mógł zostać wprowadzony. Ale podejrzenie budzi poniższy plik, który definitywnie nie jest plikiem producenta tylko "downloaderem". Pliki sygnowane jako Oleg N. Scherbakov to nic dobrego. 2016-01-28 23:10 - 2016-01-28 23:10 - 03748672 _____ (Oleg N. Scherbakov) C:\Users\Ann\Downloads\HP Photosmart C3180 - sterownik [1].exe 1. Do wykonania drobny kosmetyczny skrypt pod kątem wpisów szczątkowych, w tym po niepełnej deinstalacji programu HP. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [blueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe S2 HPSupportSolutionsFrameworkService; "C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe" [X] Task: {02545C22-676E-4EB8-909A-74C01C7BDF5A} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Health Analysis => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe Task: {12A5ED9E-0689-49DD-9D2D-7F23901B273C} - System32\Tasks\{03D74212-7DAA-48A6-A5FB-AC6E28A6CDAA} => pcalua.exe -a C:\MSI\LiveUpdate\DL_FILE\Intel_AMT_Drivers_9.5.15.1730.exe -d C:\MSI\LiveUpdate\DL_FILE Task: {260302DE-D56D-482E-AD3D-5569B92DB0E3} - System32\Tasks\{984F4BCF-54F0-411A-A8B8-DA861D589C84} => pcalua.exe -a C:\Users\Ann\Desktop\GTAIV_spolszczenie_1.0.exe -d C:\Users\Ann\Desktop Task: {5F247E90-5B2E-40D3-957B-00CA57231F4E} - System32\Tasks\Hewlett-Packard\HP Support Assistant\Opt-in For HP Support Assistant Quick Start => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF_Utils.exe Task: {6F05CF0B-D537-4740-B0BC-AFB899CB331E} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater - Resources => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe Task: {73D7510B-8923-451E-8E25-FE95C844A3D8} - System32\Tasks\{5DFDB863-2643-4F4B-BEBE-8F2564D1C194} => pcalua.exe -a C:\Users\Ann\Desktop\vcredist_x86.exe -d C:\Users\Ann\Desktop Task: {78B7B5AA-FAC7-421B-B557-1A0D90974438} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Report => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSFReport.exe Task: {8FCA6225-60A9-4E95-A726-16DDD1D1E26E} - System32\Tasks\HPCeeScheduleForAnn => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe Task: {AB444FAE-3586-4E34-9A9D-296695B39EE4} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe Task: {B3D2FBCB-9CD2-4779-B733-7E8FEAF1EE75} - System32\Tasks\Driver Booster SkipUAC (Ann) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {D0DD8D50-2967-4B58-AC14-F79028B552E0} - System32\Tasks\{0DD3AB42-24E1-4A87-A6DE-C001AF956EA4} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{38A1E3ED-D913-41D2-9953-A93D5ACE3ADF}\setup.exe" -c -runfromtemp -l0x0009 -removeonly DriverOnly Task: {DAF0B451-27C3-48E0-B394-E61F6FB5CF3D} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant Quick Start => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe Task: C:\Windows\Tasks\HPCeeScheduleForAnn.job => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Hewlett-Packard DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Hewlett-Packard C:\ProgramData\HP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Help and Support C:\Users\Ann\AppData\Local\{1929B8C5-F879-4167-806E-A76E379585FF} C:\Users\Ann\AppData\Local\Hewlett-Packard C:\Users\Ann\AppData\Roaming\Hewlett-Packard C:\Users\Ann\AppData\Roaming\hpqLog C:\Users\Ann\Downloads\HP Photosmart C3180 - sterownik*.exe C:\Windows\System32\Tasks\Hewlett-Packard CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Dodatkowo napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ann\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

Jak mówiłam: "zmodyfikowane proxy AutoConfigURL", czyli ten wpis w FRST (usuwany w skrypcie poleceniem resetu proxy): AutoConfigURL: [s-1-5-21-8983453-3073617917-2459003304-1000] => hxxp://unstopp.me/wpad.dat?88ef750010df781019f81794f8c0299e5010231 Przypuszczalnie ta modyfikacja weszła z jakimś "downloaderem" portalowym lub w instalatorze innego programu. Więcej na ten temat: KLIK. Skrypt wykonany. Na koniec: 1. Usuń FRST z "Nowego folderu" na Pulpicie. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do aktualizacji cały system, stan fatalny i blokada aktualizacji. Konieczna instalacja pakietu SP1, IE11 oraz reszty łat. 3. Na dalszą metę sugestia wymiany ESET. To stara wersja z komponentami z roku 2012.

W raporcie żadnych śladów tych procesów. Stosowałeś Dr. Web Cureit, to były przypuszczalnie jego losowe procesy. Czy był przed instalacją usuwany profil Google Chrome z dysku? Obecnie w raporcie wykrywany jako całkowicie goły i nie wiem czy to wynik uszkodzenia, czy może tego że Chrome nie mogło się uruchomić i poprawnie go wytworzyć. Widzę w systemie niedokładnie wyczyszczone adware z grupy "Privoxy", tzn. czynne zadanie odpalające delikwenta PC Defender, co być może zazębia się z problemem Chrome. Wstępnie: 1. Odinstaluj HaoZip. To prawdopodobnie była instalacja typu "PUP. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {00B72812-79C2-47EB-A601-18B0AA4CB8B6} - System32\Tasks\{DC04F341-2EA9-4C83-838E-03D6015710CF} => C:\Users\Filip\Desktop\gta_sa.exe Task: {0F659CBC-929B-471B-9FAC-B8003CF22BFA} - System32\Tasks\{B64B4B8D-4FCC-4D12-AC79-C4C1EDB4B252} => pcalua.exe -a C:\Users\Dom\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=smt Task: {250ED74B-555F-44BF-AFA8-A3C050375B9F} - System32\Tasks\{CD4C4154-3B0D-49E1-894D-4CC5D0D1DAE4} => C:\Users\Filip\Desktop\gta_sa.exe Task: {3C0E1479-57A8-4642-B1C1-BDBF6D8866AD} - \Jelbruss Secure Web Worker -> Brak pliku <==== UWAGA Task: {57CCFADA-9435-4692-A283-8E09BB82D475} - System32\Tasks\{B075201A-2CB7-4770-BECA-A5F7E3B3F9B7} => pcalua.exe -a "C:\Program Files (x86)\CLickForSale\l3fZGoJaKcK7HB.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {76EE2205-91F5-4514-8871-039837435036} - System32\Tasks\{DFDAF9DC-C252-48EA-920E-0A9AF5DC41C7} => pcalua.exe -a G:\setup.exe -d G:\ Task: {B21226FF-0F02-4F0F-AE42-B42F2E1DAE5A} - System32\Tasks\{481450AF-41DC-4ED8-9069-AD4E5FCCBF5A} => C:\Users\Filip\Desktop\gta_sa.exe Task: {B8862C54-DB03-43F1-8C2B-E5E7F2E60A14} - System32\Tasks\{BD647359-4A39-4DE1-B5A5-C2B2CB8F174D} => pcalua.exe -a "C:\Users\Dom\Downloads\chromeinstall-8u25 (3).exe" -d C:\Users\Dom\Downloads Task: {D6DE66FD-785A-4C1B-AE5A-6F5B325E365B} - System32\Tasks\{4493DCC7-003F-464C-9027-D17368A646AB} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {DCC60CCB-BA5D-4881-B5FC-820702082B16} - \Win Defrag -> Brak pliku <==== UWAGA Task: {E6F60F69-CC63-4E18-AEEE-3253CD120120} - System32\Tasks\PC Defender Worker => C:\Program Files (x86)\PC Defender\PCDefender.exe [2016-01-27] (Secure Updater) HKLM-x32\...\Run: [#SKY HACKER] => C:\Users\Filip\AppData\Local\Temp\HZ$D.922.1535\HZ$D.922.1541\gta-san-andreas-crack.exe <===== UWAGA HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank SearchScopes: HKU\S-1-5-21-2087539395-219842756-2214252671-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 Toolbar: HKU\S-1-5-21-2087539395-219842756-2214252671-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CCleaner Monitoring DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files (x86)\PC Defender RemoveDirectory: C:\ProgramData\TEMP C:\Users\Dom\AppData\Roaming\appdataFr3.bin C:\Users\Dom\Desktop\GD\Counter-Strike 1.6 v43.lnk C:\Users\Dom\Desktop\GD\Play Rodinia War.lnk C:\Users\Dom\Desktop\hity mamusi\*.lnk C:\Users\Filip\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Play Goodgame Empire.lnk C:\Users\Filip\Desktop\Free Music.lnk C:\Users\Filip\Desktop\ireal-games.lnk C:\Users\Filip\Desktop\Torch Browser.lnk C:\Users\Filip\Documents\Euro Truck Simulator 2\readme.rtf.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Akcje relatywne do przeglądarek: - Odinstaluj Google Chrome, przy deinstalacji zaznacz Usuń także dane przeglądarki. Następnie zainstaluj ponownie. - W Operze Alt+P > Otwórz wybraną stronę lub zestaw stron > Wybierz > wymaż adres adware istartsurf.com. - Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Są tu aż trzy konta: ==================== Konta użytkowników: ============================= Dom (S-1-5-21-2087539395-219842756-2214252671-1000 - Administrator - Enabled) => C:\Users\Dom Filip (S-1-5-21-2087539395-219842756-2214252671-1003 - Limited - Enabled) => C:\Users\Filip Kacper (S-1-5-21-2087539395-219842756-2214252671-1002 - Administrator - Enabled) => C:\Users\Kacper Każde musi zostać sprawdzone z osobna, czyli na każdym wyprodukuj po dwa raporty FRST (FRST.txt + Addition.txt). Na koncie limitowanym Filip FRST należy uruchomić z dwukliku, a nie via Uruchom jako Administrator, by pozyskać właściwy kontekst konta. Dołącz też plik fixlog.txt. Opisz czy problemy z Google Chrome nadal mają miejsce.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Przede wszystkim rzuca się w oczy dramatyczna kombinacja dwóch czynnych antywirusów Avast + McAfee. Prawdopodobna przyczyna potężnej degradacji wydajności i problemów z przeglądarką. Rozpocznij od redukcji, co pomoże także odsiać błędy które mogą być pochodną aktywności pakietu zabezpieczającego: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj pakiet McAfee LiveSafe - Internet Security. Od razu także integrowane na Lenovo aplikacje: Amazon 1Button App, Host App Service, Lenovo Web Start, SHAREit (jeśli nie korzystasz), Start Menu. Te grupy "Pokki" wątliwej reputacji. 2. Uruchom tryb awaryjny. Z jego poziomu zastosuj McAfee Consumer Product Removal Tool. Opuść tryb awaryjny. 3. Uruchom Microsoft Fix it. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 4. Klawisz z flagą Windows + X > Podgląd zdarzeń. W sekcji Dzienniki systemu Windows z prawokliku wyczyść Aplikacja oraz System. W sekcji Dzinniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Zresetuj system, by zostały nagrane nowe błędy. 5. Na koniec wygeneruj nowe raporty FRST (FRST.txt + Adddition.txt). Opisz czy jest poprawa.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Jest tu dwóch podejrzanych: - BitDefender jest mocnym kandydatem dla opisywanego zjawiska oraz ogólnego spowolnienia. Typowałabym go nawet bez wskazówki, że stało się to właśnie po jego reinstalacji, bo to najbardziej rozbudowany program w starcie. A wyłączanie w msconfig nie adresuje wszystkich elementów BitDefender (ani sterowników, ani rozszerzeń powłoki). Na dodatek FRST notuje "zerobajtowy" plik tej instalacji C:\Windows\System32\BDSandBoxUISkin32.dll wskazujący na uszkodzenie. - Oprogramowanie nVidia, wg raportu aktualizowane 1 lutego. Ponadto w Dzienniku zdarzeń są, choć nie wiem czy jeszcze aktualne, błędy usługi NvStreamNetworkService.exe. - Są też poniższe błędy PeerNetworking i te będę likwidować poprzez reset plików idstore.*. Dziennik System: ============= Error: (02/05/2016 01:39:48 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (02/05/2016 01:39:48 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Wstępnie proponuję: 1. Po raz kolejny odinstaluj BitDefender. Przy okazji pozbądź się aktualizatora NVIDIA GeForce Experience 2.9.1.22 (zniknie trochę procesów, w tym NvStreamNetworkService.exe) oraz SUPERAntispyware (to dziś słaby program, na dodatek jeździ na starych sterownikach z 2011). 2. W trybie awaryjnym użyj specjalizowany czyściciel BitDefender Uninstall Tool (Consumer). 3. Następnie naprawa błędów PeerNetworking oraz drobne kosmetyczne akcje skombinowane razem w skrypcie w spoilerze. 4. Jeśli po w/w operacjach problemy znikną, spróbuj ponownie zainstalować Bitdefender i zrób nowe raporty FRST (włącznie z Addition). Dołącz też fixlog.txt ze spoilera. Opisz czy są pozytywne rezultaty w/w akcji.

Wszystko elegancko przetworzone. Teraz jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko gładko poszło. Jeszcze poprawki pod kątem odpadków po odinstalowanym Sophos. Otwórz Notatnik i wklej: S3 MEMSWEEP2; C:\Windows\system32\4EFA.tmp [6144 2010-05-26] (Sophos Plc) [brak podpisu cyfrowego] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Sophos CMD: del /q C:\Users\Damian\Desktop\gmer.exe CMD: del /q C:\Windows\system32\*.tmp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

Nic tu nie wskazuje na problem infekcji. Temat przenoszę, na razie do działu Vista, choć nie wykluczam Hardware. A z raportów nic nie wynika. Do których procesów pijesz? Jeśli masz na myśli rozmnożenie svchost.exe, to jest to normalne zjawisko: KLIK. Również normalne rozmnożenie rundll32.exe (w starcie uruchamiają się u Ciebie dwa polecenia nVidia posługujące się tym procesem Microsoftu) oraz iexplore.exe (Internet Explorer posiada architekturę separacji do osobnych procesów). Obciążenie poszczególnych instancji to już inne zagadnienie. Diagnostyka BSOD opisana tu: KLIK. Przy okazji, to stary system Vista ze starymi sterownikami Lenovo i brak aktualizacji tych komponentów też może być problemem. Dziennik Aplikacja: ================== Error: (01/18/2016 09:34:59 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd consent.exe, wersja 6.0.6002.19116, sygnatura czasowa 0x538c3c3d, moduł powodujący błąd USER32.dll, wersja 6.0.6002.19454, sygnatura czasowa 0x55ae6e00, kod wyjątku 0xc0000142, przesunięcie błędu 0x00009f55, identyfikator procesu 0x1284, godzina rozpoczęcia aplikacji 0xconsent.exe0. Z tego błędu tylko tyle widać na razie, że nie działa poprawnie UAC. Może rozpocznij od egzaminu sfc /scannow: KLIK. Po wykonaniu tego skanu nie filtruj raportu CBS.log, gdyż: W Dzienniku zdarzeń widzę poniższy błąd instalacji IE9 (wg FRST on już jest zainstalowany): Dziennik System: ============= Error: (01/26/2016 09:47:16 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: 0x80070643Windows Internet Explorer 9 dla systemu Windows Vista{CE545479-357C-49F8-8DB9-D1434AC00075}101 Rozpocznij od użycia "Narzędzia analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, skopiuj na Pulpit cały katalog C:\Windows\Logs\CBS, zapakuj do ZIP i shostuj gdzieś podając link do paczki. Analiza jest bardzo czasochłonna, więc nie obiecuję szybkiej odpowiedzi.

Akcje do przeprowadzenia: 1. Odinstaluj stary Sophos Anti-Rootkit 1.5.4. Świeżo instalowany, ale to strasznie stara wersja. Obecnie Sophos ma nowsze narzędzie Sophos Virus Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {4B9F40FC-45B0-49E0-84C8-1BD87E2AABDD} - System32\Tasks\Driver Booster SkipUAC (Damian) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {93ADED5E-CDF1-4293-9BB7-8FB4CE908303} - System32\Tasks\{30949D3D-4D08-4629-99E1-8757C7732E6C} => C:\Program Files (x86)\Ubisoft\Tom Clancy's Ghost Recon Future Soldier\Future Soldier.exe HKU\S-1-5-21-8983453-3073617917-2459003304-1000\Software\Classes\.exe: => S3 cpuz134; \??\C:\Users\Damian\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] RemoveDirectory: C:\AdwCleaner CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu. PS. Odpowiadaj już w nowym poście, nie edytuj poprzedniego.

Nic tu nie wskazuje na problem infekcji. Potem byłyby do czyszczenia drobne szczątki, ale na razie nie ma to sensu. Widoczny problem sprzętowy, temat przenoszę do działu Hardware. W Dzienniku zdarzeń błędy złych bloków dysku: Dziennik System: ============= Error: (02/02/2016 11:41:11 AM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. 1. Dostarcz dane wymagane działem: KLIK. Jeśli dysk zostanie sklasyfikowany jako zdatny do dalszego użytku: 2. Wykonaj naprawę plików systemowych poleceniem sfc /scannow i dostarcz przefiltrowany raport CBS: KLIK.