picasso

Błąd WinThuster z tej samej kolekcji co reszta. Wygląda na to, że jest rozległe uszkodzenie rejestru. Do przywracania poprzedniej wersji rejestru służy właśnie Przywracanie systemu, które tu całkowicie odpada. Masz jednak jeszcze jedną kopię rejestru typu RegBack, która jest nieco starsza: LastRegBack: 2016-01-20 21:23 Spróbujmy ją zrzucić. Jeśli to skończy się niepowodzeniem, zostaje reinstalacja systemu. 1. Otwórz Notatnik i wklej w nim: LastRegBack: 2016-01-20 21:23 Plik zapisz pod nazwą fixlist.txt. Plik ten oraz FRST64.exe umieść na pendrive. 2. Uruchom FRST w środowisku WinRE: KLIK. Klik w Napraw (Fix), powstanie na pendrive plik fixlog.txt. 3. Uruchom ponownie Windows. Zrób nowe logi FRST (wliczając Addition i Shortcut). Dołącz fixlog.txt oraz wypowiedz się czy są zmiany.

Zamknąłeś, ale nie pobrałeś danych o procesie (do jakiego pliku na dysku się odnosił), więc pewnie on się znowu pojawi podczas uruchamiania określonej aplikacji. Poza tym, takie opowieści na podstawie obrazka są nieprecyzyjne. Do oceny procesów niedomyślnych służą logi FRST.

W raportach nie widać oznak infekcji (pomimo "podejrzanego" wyniku GMER). Skype typu Desktop został już odinstalowany, więc nie ma możliwości sprawdzenia jego ustawień (opcje "Kontrola dostępu do API"). PS. Możesz wykonać skrypt kosmetyczny usuwający szczątki Skype i inne drobnostki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {7945089E-D735-4AC5-9E12-FB2678592831} - System32\Tasks\{9F967DDE-9254-426D-8D20-102DC27586CE} => launchwinapp.exe hxxp://ui.skype.com/ui/0/7.17.0.105/en/abandoninstall?page=tsProgressBar Task: {FDC1914D-0E53-4D5F-B8E2-20C814926B9D} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-08-17] (Lenovo) C:\ProgramData\Skype C:\Users\dawid\AppData\Roaming\Skype EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Wg obrazka wszystko w porządku. "Runtime Broker" i "Store Broker" to natywne procesy systemowe powiązane z aplikacjami modern oraz Sklepem Windows. Pokki to preintegrowane na niektórych laptopach (np. Lenovo) aplikacje, pomijając że są kwestionowalnej jakości. A jeśli chodzi o "TODO" to jest to opis "bez opisu", pobierz właściwości z prawokliku i pokaż jaki jest plik docelowy. To co mówiłam wcześniej nie aplikuje się do Menedżera zadań o który Ci teraz chodzi.

Ale o jakich plikach mówisz? To co mi pokazywałeś wcześniej na obrazkach to pliki systemowe niezbędne do poprawnego działania Windows, a nie infekcja (infekcja była zupełnie gdzie indziej). Widoczne, jeśli w Opcjach folderów jest odznaczona opcja "Ukryj chronione pliki systemu operacyjnego".

Ten instalator SP1 to ja przecież podaję też w przyklejonym: KLIK. Ale mówię przecież, że zacznij nie od ręcznej instalacji SP1, tylko od uruchomienia kopleksowego Windows Update z poziomu systemu, bo może brakować łat które są wymogiem do instalacji SP1.

Nazwy raportów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum. Zasadnicze bieżące raporty są w folderze skąd uruchamiasz FRST, czyli w tym przypadku w katalogu Pobrane. Brak też trzeciego obowiązkowego raportu FRST Shortcut. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {5013556F-659E-4297-A91D-DB5AF7D33CC1} - System32\Tasks\Price Fountain => C:\Users\ABC\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {78589761-0C5C-44DF-A3B6-2EFE3E34EC70} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe Task: {B139C68B-7F46-4DA5-B988-9CB55CF042E5} - System32\Tasks\ABCAlateApsesV2 => Rundll32.exe CohortOverconscientious.dll,main 7 1 Task: {ECA2C614-3D93-479C-9B66-67B90EEA5A6E} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\ABC\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE BootExecute: autocheck autochk * sasnative64 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy C:\AVScanner.ini C:\Program Files (x86)\Opera C:\ProgramData\McAfee C:\Users\ABC\AppData\Local\AlateApses C:\Users\ABC\AppData\Local\Opera Software C:\Users\ABC\AppData\Local\Systweak C:\Users\ABC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\ABC\AppData\Roaming\Opera Software C:\Users\ABC\AppData\Roaming\Shortcut C:\Users\ABC\AppData\Roaming\Systweak C:\Users\ABC\AppData\Roaming\WarThunder C:\Users\ABC\Downloads\aspsetup.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition oraz Shortcut. Dołącz też plik fixlog.txt.

1. Nie sugeruję żadnej konkretnej marki, cokolwiek dobierzesz (darmowe lub komercyjne) z puli popularnych producentów będzie OK. Tu chodzi o to że posługujesz się starym programem sprzed 4 lat, co nie gwarantuje bezpieczeństwa. 2. Blokada sama zniknie, jeśli zainstalujesz pakiet SP1. Czyli uruchamiasz Windows Update, wyszukujesz aktualizacje, ładujesz wszystkie i ponawiasz operację aż do wyniku, że nie ma już nic do zainstalowania. Problem się pojawi wtedy, gdy się okaże, że Windows Update nie proponuje w ogóle SP1 do instalacji. I może tu być coś w tym rodzaju, bo stan Twoje Windows jest mocno podejrzany, zupełny brak aktualizacji.

Problemem jest infekcja DNS, ustawione izraelskie adresy: Tcpip\..\Interfaces\{123A6058-DD18-4832-B27A-2B8B4BA2CB90}: [NameServer] 199.203.131.145,82.163.143.167 Poza tym, są tu liczne inne odpadki adware, w tym zdewastowana przeglądarka Google Chrome - przekonwertowana przez adware do wersji "developerskiej" i jest konieczna jej pełna deinstalacja. I tak korzystasz z Opery. Adware nabyłeś w następujące sposoby: KLIK. O zgrozo, uruchamiałeś downloader także przy pobieraniu AdwCleaner, to nie jest poprawny plik ze strony domowej programu: 2016-01-23 11:51 - 2016-01-23 11:51 - 00001213 _____ C:\Users\MASTER\Desktop\Kontynuuj instalację AdwCleaner 5.003.lnk Ale dostarczone logi FRST nie są wiarygodne. Raport główny FRST.txt powstał przed użyciem AdwCleaner, co czyni go kompletnie nieaktualnym, gdyż to co widać w FRST było usuwane przez AdwCleaner. Wymagane zrobienie nowych logów FRST (wszystkich trzech).

1. Tak ma być. Program się samoczynnie usuwa i tworzy plik C:\delfix.txt z raportem akcji. Log ten można usunąć. 2. Mówiąc "blokada" miałam na myśli, że system bez zainstalowanego SP1 w ogóle nie otrzymuje żadnych aktualizacji. Musisz zainstalować SP1 i wszystkie inne aktualizacje z Windows Update.

Temat sprzątam, usuwam logi z OTL. Ten przestarzały program nie jest tu w ogóle już brany pod uwagę. DLLSuite to program wątpliwej reputacji! Przy jego udziale można zaszkodzić jeszcze bardziej. Do takich napraw na systemach Vista i nowszych służy systemowe narzędzie SFC: KLIK. Na razie nie podejmuj czynności naprawczych tą metodą. W systemie widać adware oraz zainstalowane kolejne wątpliwe skanery SpyHunter i YAC. Działania wstępne: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware i wątpliwe programy: BrowserAir, DLL Suite 9.0, QuickSearch, SearchModule, SpyHunter 4, YAC(Yet Another Cleaner!) 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut.

Skrypt pomyślnie wykonany. Ale tu chodzi przede wszystkim o użycie narzędzia msconfig i operację w karcie Usługi: najpierw Ukryj usługi Microsoftu + następnie Wyłącz wszystkie + restart systemu i podanie czy jest poprawa. Nawiasem mówiąc, jest niejasne dlaczego niczego nie widzisz w Menedżerze zadań, bo definitywnie są wpisy startowe, 5 pozycji, przy czym aktualizator AllPlayer już został wyłączony tą metodą: HKLM\...\Run: [RtHDVBg] => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1214608 2012-08-20] (Realtek Semiconductor) HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2916152 2012-08-21] (Synaptics Incorporated) HKU\S-1-5-21-1266647216-2071126190-593478351-1001\...\Run: [ALLUpdate] => C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe [3670472 2015-07-28] (ALLPlayer Group Ltd.) HKU\S-1-5-21-1266647216-2071126190-593478351-1001\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [8418584 2015-07-17] (Piriform Ltd) Startup: C:\Users\Agnieszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Powiadomienia monitorowania tuszu - HP Deskjet 1510 series.lnk [2016-02-06] ==================== MSCONFIG/TASK MANAGER - Wyłączone elementy == HKU\S-1-5-21-1266647216-2071126190-593478351-1001\...\StartupApproved\Run: => "ALLUpdate"

Temat przenoszę do działu Windows pod zmienionym tytułem, bo "zarobaczenia" tu brak. Nie ma oznak czynnej infekcji, tylko mini-szczątki adware, co nie ma żadnego wpływu na kondycję i nie tu leży problem. 1. W spoilerze szybkie doczyszczanie szczątków i wpisów pustych. Nie powinno to wpłynąć na poprawę stanu Windows. 2. Jeśli rzecz o kondycji, to rozpocznij od kompleksowej aktualizacji systemu. To goły Windows 7 bez SP1 i reszty: Platform: Microsoft Windows 7 Starter (X86) Język: Polski (Polska) Internet Explorer Wersja 9 (Domyślna przeglądarka: FF) I jak sam zaznaczasz, statystyki sprzętowe są tu słabe, co ogranicza pole dywagacji: ==================== Statystyki pamięci =========================== Procesor: Intel® Atom™ CPU N570 @ 1.66GHz Procent pamięci w użyciu: 61% Całkowita pamięć fizyczna: 1011.87 MB Dostępna pamięć fizyczna: 386.01 MB Całkowita pamięć wirtualna: 2035.87 MB Dostępna pamięć wirtualna: 1149.53 MB

Temat przenoszę. To nie jest infekcja, problemem jest uszkodzenie struktury danych na urządzeniu. Na pendrive są tylko te dwa foldery, o których mówisz. I to zapewne FOUND.000 zajmuje miejsce i gromadzi przekonwertowane naprawą checkdisk szczątki danych zasadniczych. Podobny temat: KLIK.

Wszystko zrobione. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Z raportów FRST nic kompletnie nie wynika. Temat przenoszę na diagnostykę do działu Hardware. Dołącz dane wymagane działem (KLIK) oraz pliki DMP (KLIK). Wg FRST poniższy plik jest tym w którym było nagrywanie: 2016-01-27 15:40 - 2015-11-28 14:35 - 453815213 _____ C:\Windows\MEMORY.DMP PS. W spoilerze doczyszczanie szczątków adware oraz wpisów pustych, zupełnie bez związku ze zgłoszonym problemem. Skrypt usunie także ten błąd z Dziennika zdarzeń: Dziennik System: ============= Error: (01/28/2016 09:35:11 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą TerminusSubs.

Wszystko gładko poszło. Kończymy: Skasuj z Downloads folder logi z FRST. Następnie zastosuj DelFix, a na koniec wyczyść foldery Przywracania systemu: KLIK.

Adware pomyślnie usunięte. Został problem z AVG. Jest możliwe, że deinstalację AVG Web TuneUp naruszył używany wcześniej AdwCleaner. Skorzystaj z narzędzia AVG Remover: KLIK. W narzędziu wybierz do usuwania tylko ten element, pomijając inne składniki AVG, o ile program wykryje go.

Na temat pobierania z dobrychprogramów: KLIK. Wg raportu widać, że stało się to przy pobieraniu "Preferred Filter Tweaker for Windows 7" - na przyszłość strona domowa bez pośredników ładujących adware: KLIK. AdwCleaner w tym konkretnym przypadku nie pomaga, bo nie posiada detekcji elementów tego szczególnego adware w Harmonogramie zadań Windows. Problem u Ciebie produkuje wpis RockforMotetsMinistryV2. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {00BBB5EE-BE39-48C6-B20D-7C6E65B0CC16} - System32\Tasks\RockforMotetsMinistryV2 => Rundll32.exe BrookedOveranalyzing.dll,main 7 1 Task: {0DB87349-7245-4A18-9B4E-03D395513065} - \Optimize Start Menu Cache Files-S-1-5-21-2412946247-1837993513-3895125520-1001 -> No File Task: {8DC877D7-632E-4F4E-81D9-B28364F24B9B} - System32\Tasks\Plugin Logo => Rundll32.exe "C:\Users\Rockfor\AppData\Local\Plugin Logo\zBin\PluginLogo.dll",#3 Task: {BCC1142A-E663-4F54-94D6-A810059915FF} - \WPD\SqmUpload_S-1-5-21-2412946247-1837993513-3895125520-1001 -> No File Task: {D0964EBB-7367-4CF1-8160-876F30F7949B} - System32\Tasks\AsrKM => C:\Program Files (x86)\ASRock Utility\Key Master\AsrKM.exe S3 AIDA64Driver; \??\C:\Program Files (x86)\FinalWire\AIDA64 Extreme\kerneld.x64 [X] S3 cpuz138; \??\C:\Users\Rockfor\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\Run: [Fatal1tySTU] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day0] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day1] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day2] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day3] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day4] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day5] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\RunOnce: [AsrOMG_Day6] => [X] HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\MountPoints2: {3bc1d1b6-4922-11e5-826b-faec7023c987} - "H:\setup.exe" HKU\S-1-5-21-2412946247-1837993513-3895125520-1002\...\MountPoints2: {d29070fb-5157-11e5-826c-e77552244ed3} - "E:\Startme.exe" HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Rockfor\AppData\Local\MotetsMinistry C:\Users\Rockfor\Desktop\Continue Preferred Filter Tweaker for Windows 7 installation.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

Tytułowy komunikat produkuje adware PriceFountain w Harmonogramie zadań Windows. Adware zostało nabyte z portalu dobreprogramy.pl: KLIK. Akcje do wdrożenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware PriceFountain, Update for PriceFountain. Jeśli będzie jakiś błąd deinstalacji, kontynuuj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {8BA1FBBE-CF8B-4B14-AE4A-EAA5F2B8EF81} - System32\Tasks\MVQStereoscopicGroundingV2 => Rundll32.exe CopulativelyCarpentry.dll,main 7 1 S4 WinDivert1.1; Brak ImagePath SearchScopes: HKU\S-1-5-21-4145475615-949717121-2128735600-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\Users\MVQ\AppData\Roaming\PriceFountain C:\Users\MVQ\Downloads\*-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaprezentuj tylko plik Addition. Dołącz też plik fixlog.txt. Problem powinien ustąpić.

Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare wersje Adobe AIR, Gadu-Gadu 10, Java 7 Update 51, Java™ 6 Update 30, JavaFX 2.1.0 oraz jeden z programów zabezpieczających (albo wszystko od AVG, albo Kaspersky Total Security), bo to za dużo. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {E4D0393E-931B-42A8-B865-C392C66A7FA7} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{4253EA5A-8409-49D3-BC9C-74E7F36143E6}.exe Task: {EEE10054-221B-4D2E-BF73-5E5F524841B7} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {F45DF754-106D-475C-93E4-BFE3FBB3EBA3} - System32\Tasks\GallopingNumericsV2 => Rundll32.exe MonocytesRemediable.dll,main 7 1 Task: {FB2C844D-3B34-4B8E-8799-4C7E19422CDD} - System32\Tasks\Price Fountain => C:\Users\Iras\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{4253EA5A-8409-49D3-BC9C-74E7F36143E6}.exe Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Iras\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE HKU\S-1-5-21-77867466-755365321-263658617-1001\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB S3 AthBTPort; system32\DRIVERS\btath_flt.sys [X] S3 BTATH_A2DP; system32\drivers\btath_a2dp.sys [X] S3 BTATH_BUS; system32\DRIVERS\btath_bus.sys [X] S3 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [X] S3 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [X] S3 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [X] S3 BtFilter; system32\DRIVERS\btfilter.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] GroupPolicyUsers\S-1-5-21-77867466-755365321-263658617-1001\User: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1443277762&z=7c0281305df4ee38834f85dg6z2zfc3o9mdmemfqao&from=cor&uid=hitachixhts547564a9e384_j2180053hnrswdhnrswdx&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1443277762&z=7c0281305df4ee38834f85dg6z2zfc3o9mdmemfqao&from=cor&uid=hitachixhts547564a9e384_j2180053hnrswdhnrswdx&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1443277762&z=7c0281305df4ee38834f85dg6z2zfc3o9mdmemfqao&from=cor&uid=hitachixhts547564a9e384_j2180053hnrswdhnrswdx&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1443277762&z=7c0281305df4ee38834f85dg6z2zfc3o9mdmemfqao&from=cor&uid=hitachixhts547564a9e384_j2180053hnrswdhnrswdx&q={searchTerms} URLSearchHook: HKU\S-1-5-21-77867466-755365321-263658617-1000 - (No Name) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No File SearchScopes: HKLM -> DefaultScope value is missing SearchScopes: HKLM-x32 -> DefaultScope value is missing BHO: No Name -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> No File BHO-x32: No Name -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File CHR HKU\S-1-5-21-77867466-755365321-263658617-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mhfdcmehmjcclgopdodkjdicohagipid] - C:\Users\Iras\AppData\Local\CRE\mhfdcmehmjcclgopdodkjdicohagipid.crx CHR HKLM-x32\...\Chrome\Extension: [mhfdcmehmjcclgopdodkjdicohagipid] - C:\Users\Iras\AppData\Local\CRE\mhfdcmehmjcclgopdodkjdicohagipid.crx DisableService: Internet Manager. RunOuc DisableService: PLAY ONLINE. RunOuc DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ServiceLayer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NokiaSuite.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PC Suite Tray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\RayDld RemoveDirectory: C:\Users\Iras\AppData\Local\GallopingNumerics RemoveDirectory: C:\Users\Iras\AppData\Local\Lenovo RemoveDirectory: C:\Users\Iras\AppData\Local\Mozilla RemoveDirectory: C:\Users\Iras\AppData\Roaming\Mozilla C:\ProgramData\Atheros\Device link\74-2f-68-b5-67-1d\*.lnk C:\Users\Guest\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Guest\Desktop\Budzik.lnk C:\Users\Iras\AppData\Roaming\Microsoft\Office\Niedawny\zadanie BO.LNK C:\Users\Iras\Desktop\Iraas\AVG 2014.lnk C:\Users\Iras\Desktop\Iraas\Google Earth.lnk C:\Users\Iras\Desktop\Iraas\katalog\Nowy folder (2)\Ireneusz Czernik- Cegła\Nowy folder (2)\Google Chrome.lnk C:\Users\Iras\Desktop\Iraas\katalog\Nowy folder (2)\Skype.lnk C:\Users\Iras\Downloads\sh-remover.exe C:\Users\UpdatusUser\Desktop\*.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Iras\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer (x86)\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Podstawowa przyczyna spowolnienia to brak miejsca na dysku. Twoje statystyki są bardzo cienkie: Drive c: () (Fixed) (Total:60 GB) (Free:3.14 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] To jest także za mało dla Windows Update, z tym że tu pogrążyłeś się dodatkowo: Dziennik System: ============= Error: (02/05/2016 01:15:09 PM) (Source: Microsoft-Windows-LanguagePackSetup) (EventID: 1001) (User: ZARZĄDZANIE NT) Description: Nie można uruchomić kreatora instalacji pakietu językowego. Uruchom ponownie system i spróbuj uruchomić ponownie kreatora. Error: (02/05/2016 01:15:09 PM) (Source: Microsoft-Windows-LanguagePackSetup) (EventID: 1000) (User: ZARZĄDZANIE NT) Description: Inicjacja klienta CBS nie powiodła się. Ostatni błąd: 0x80070422 Wg raportu FRST wyłączyłeś za pomocą msconfig kluczową usługę Windows, niezbędną do wykonywania aktualizacji: MSCONFIG\Services: TrustedInstaller => 3 Przy okazji, instalacja DAEMON Tools jest uszkodzona, sterownik SPTD nie uruchamia się: Error: (02/05/2016 01:15:05 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: sptd Error: (02/05/2016 01:14:16 PM) (Source: sptd) (EventID: 4) (User: ) Description: Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Starsza wersja Avast, stare programy wątpliwego producenta IOBit i niezbyt zadbany system. Wstępnie: 1. W msconfig przywróć start usług: Dysk wirtualny, Instalator modułów Windows. 2. Odinstaluj stare programy: Acrobat.com, Adobe Acrobat 5.0 CE, Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Flash Player 13 Plugin, Adobe Reader X (10.1.16), Advanced SystemCare 8, Game Assistant 2 Beta, IObit Malware Fighter, IObit Uninstaller, Java 7 Update 55, Java SE Development Kit 7 Update 7, Java 6 Update 31, JavaFX 2.1.1, ManageMyMobile, Mozilla Firefox 26.0 (x86 pl), Mozilla Maintenance Service, Smart Defrag 2, Surfing Protection, Vividas Player Plugin v4.1, vSharetv, Windows Media Player Firefox Plugin Ogólnie też przewertuj listę i odinstaluj wszystko czego nie używasz, by zwolnić miejsce na dysku. Zaś Avast wymień najnowszą wersją. 3. W spoilerze skrypt usuwający wpisy szczątkowe i śmieci oraz czyszczący Tempy. Uwzględniam też obiekty Firefox, zakładając że go odinstalowałeś w punkcie 2. 4. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń gałąź Dzienniki systemu Windows i z prawokliku opróżnij Aplikacja oraz System. Zresetuj Windows, by nagrały się nowe błędy. 5. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: w sekcji Filtrowanie odznacz pole Usługi, poza tym zaznacz pole Addition. Dołącz też plik fixlog.txt ze spoilera. Wypowiedz się czy notujesz poprawę.

Dodam: O tym kto jest uprawniony do pomocy w tym dziale jest w zasadach działu. Dodatkowo powstał przyklejony na zgłaszanie tematów bez odpowiedzi (to w tym temacie należało zgłosić, że temat nadal aktualny). W systemie jest zainstalowany Revealer Keylogger Free. Czy to celowa instalacja?

Najwyraźniej prowadziłaś przed użyciem skryptu dodatkowe operacje, pojawił się m.in. MBAM (usuwa YAC), co zmieniło bieg wydarzeń. Wyniki skryptu FRST się nie zgadzają. Skrypt FRST nie znalazł komponentów YAC, a rzeczywiście zniknęły. Drobne poprawki: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF Plugin: @java.com/DTPlugin,version=10.5.0 -> C:\WINDOWS\system32\npDeployJava1.dll [2012-10-18] (Oracle Corporation) FF Plugin-x32: @java.com/DTPlugin,version=10.5.0 -> C:\WINDOWS\SysWOW64\npDeployJava1.dll [2012-10-18] (Oracle Corporation) DisableService: McComponentHostServiceSony DisableService: PLAY ONLINE. RunOuc removeDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Agnieszka\AppData\Roaming\Elex-tech RemoveDirectory: C:\Users\Agnieszka\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Agnieszka\Downloads\adwcleaner_5.032.exe CMD: del /q C:\Users\Agnieszka\Downloads\ql9lrwjr.exe CMD: del /q C:\Users\Agnieszka\Downloads\HPSupportSolutionsFramework-12.0.30.219.exe CMD: del /q C:\Users\Agnieszka\Downloads\SpyHunterCleaner.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Obecnie w raporcie nie widac nic konkretnego. Sprawdź czy problemy występują w środowisku tzw. "czystego rozruchu": KLIK.

Temat przenoszę do działu Windows. To nie jest problem infekcji, tylko uszkodzeń Windows. Notuję następujące defekty: 1. System przeciążony nadmiarem programów zabezpieczających, działają równolegle Avast i McAfee Internet Security Suite. McAfee masowo zgłasza błędy własnych komponentów (wliczając brak informacji w rejestrze): Dziennik Aplikacja: ================== Error: (02/01/2016 11:55:30 PM) (Source: McLogEvent) (EventID: 5046) (User: ZARZĄDZANIE NT) Description: The McShield scanning service cannot find any configuration in the registry Dziennik System: ============= Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee Anti-Spam Service z powodu następującego błędu: %%1053 Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Anti-Spam Service. Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee Platform Services z powodu następującego błędu: %%1053 Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Platform Services. Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee VirusScan Announcer z powodu następującego błędu: %%1053 Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee VirusScan Announcer. Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee CSP Service z powodu następującego błędu: %%1053 Error: (02/01/2016 11:58:38 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee CSP Service. Error: (02/01/2016 11:58:35 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee Home Network z powodu następującego błędu: %%1053 Error: (02/01/2016 11:58:35 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Home Network. 2. W Dzienniku zdarzeń kolejne masowe błędy relatywne do uszkodzonych danych rejestracji produktu Office: Error: (02/01/2016 11:54:09 PM) (Source: CVHSVC) (EventID: 100) (User: ) Description: Tylko informacje. Nie można ukończyć akcji. Spróbuj wykonać ją ponownie. Jeśli problem będzie się powtarzać, skontaktuj się z Pomocą techniczną firmy Microsoft. Error: (02/01/2016 11:54:09 PM) (Source: CVHSVC) (EventID: 100) (User: ) Description: Tylko informacje. Error: exception in main loop CoCreateInstance failed : HR: 0x80040154 ErrorCode: 0x0 Error: (02/01/2016 11:54:09 PM) (Source: CVHSVC) (EventID: 100) (User: ) Description: Tylko informacje. Product registration is corrupted for {90140011-0066-0415-0000-0000000FF1CE} Error: (02/01/2016 11:54:09 PM) (Source: CVHSVC) (EventID: 100) (User: ) Description: Tylko informacje. Error: Product {90140011-0066-0415-0000-0000000FF1CE} found in the registry but SoftGrid doesn't know about it, skipping... Error: (02/01/2016 11:54:09 PM) (Source: CVHSVC) (EventID: 100) (User: ) Description: Tylko informacje. Product registration is corrupted for {90140011-0066-0415-0000-0000000FF1CE} Error: (02/01/2016 11:54:09 PM) (Source: CVHSVC) (EventID: 100) (User: ) Description: Tylko informacje. Error: Product {90140011-0066-0415-0000-0000000FF1CE} found in the registry but SoftGrid doesn't know about it, skipping... 3. Ubytki plików Windows, które albo są prawdziwymi brakami, albo są uszkodzone Zmienne środowiskowe. ShellIconOverlayIdentifiers-x32: [EnhancedStorageShell] -> {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} => Brak pliku ShellIconOverlayIdentifiers-x32: [SharingPrivate] -> {08244EE6-92F0-47f2-9FC9-929BAA2E7235} => Brak pliku 4. Na dodatek w celu rozwiązania problemu były stosowane pewne programy, które mogły pogorszyć sprawę. WinThruster - niepożądany program instalowany metodami "PUP", usuwany przez AdwCleaner, nie wiadomo czy nie zbroił dodatkowych naruszeń. Dial-a-fix - program przeznaczony dla XP a nie Windows 7... Czy przypadkiem nie czyściłeś czymś rejestru przed wystąpieniem uszkodzeń? Skala zjawisk naruszeń wygląda na dużą, nie jest wykluczone że nie da się tego naprawić "punktowo", bo uszkodzeń może być więcej niż sugeruje to bardzo limitowany FRST. W tej sytuacji proponowanym rozwiązaniem byłoby Przywracanie systemu do daty, gdy system jeszcze działał. Tylko tu istnieje podejrzenie, że nie ma takiej możliwości. W Twoim spisie widać już trzykrotnie podjęte próby odwracania: ==================== Punkty Przywracania systemu ========================= 26-01-2016 15:31:38 Windows Update 30-01-2016 14:44:26 Operacja przywracania 31-01-2016 16:20:56 Instalator modułów systemu Windows 31-01-2016 21:11:57 Operacja przywracania 31-01-2016 21:38:59 Removed Norton Online Backup 31-01-2016 21:41:26 Operacja przywracania 31-01-2016 22:33:28 Removed Surfer 8 01-02-2016 20:42:27 Instalator modułów systemu Windows 01-02-2016 21:11:55 Instalator modułów systemu Windows Czy punkt z 26 stycznia to właśnie ten którego próbowałeś?