picasso

Wszystko jest OK. Możesz na koncie administracyjnym wykonać pobocze działania i drobny skrypt kosmetyczny usuwający puste wpisy i czyszczący lokalizacje tymczasowe: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Odinstaluj stare wersje Adobe AIR, Adobe Flash Player 15 ActiveX. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-562281720-3894058892-620674494-1005\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\* License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerMenu EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są już potrzebne.

Wszystko wykonane, problem rozwiązany nie tylko "na wierzchu". Ale jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Zgłaszany problem tworzą wpisy "Soloeco", ale cała przeglądarka Google Chrome ma kwalifikację do reinstalacji od zera (znaki pośrednie infekcji modułów DLL). Akcja: 1. Odinstaluj Adobe Flash Player 20 NPAPI (wersja dla nieistniejącego tu Firefox), Java 8 Update 45 (starsza wersja). Operacje związane z Google Chrome: Upewnij się, że nie masz włączonej synchronizacji. Opcja 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Nie instaluj Google Chrome dopóki nie wykonasz punktu 2 (skrypt usuwa elementy Google). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Soloeco\Vilastring.dll => C:\ProgramData\Soloeco\Vilastring.dll [883200 2015-10-01] () AppInit_DLLs-x32: C:\ProgramData\Soloeco\Freshdom.dll => C:\ProgramData\Soloeco\Freshdom.dll [738816 2015-10-01] () R2 Soloeco; C:\ProgramData\\Soloeco\\Soloeco.exe [441856 2015-09-20] () [brak podpisu cyfrowego] S2 WajInterEnhancer Service; C:\Program Files (x86)\WajInterEnhancer\WajInterEnhancer Internet Enhancer\InternetEnhancerService.exe [X] HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\...\Run: [bigFatVoiceSystem] => C:\Users\Michal\Desktop\BOL\BoL+Studio\BoL+Studio\Scripts\BigFatVoiceSystem.exe Task: {8842B8C8-9477-4A20-9CDF-44B409C55D3E} - System32\Tasks\Driver Booster SkipUAC (Michal) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe BootExecute: autocheck autochk * sdnclean64.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx6qf2uqUBUFjZB9empTuO0A9QFOmvLgK8s60vUDDNmY8SZarkaINFbPy403_eakWboU-JGA2BZtCAAZFKjD5s7HKIc64sDnSiWUADMhQtls7viM8HDyeVxynM6h7ckS2Mwbc6y-qClD1L&q={searchTerms} HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx6qf2uqUBUFjZB9empTuO0A9QFOmvLgK8s60vUDDNmY8SZarkaINFbPy403_eakWboU-JGA2BZtCAAZFKjD5s7HKIc64sDnSiWUADMhQtls7viM8HDyeVxynM6h7ckS2Mwbc6y-qClD1L&q={searchTerms} HKU\S-1-5-21-2837671372-3707443137-3094779737-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx6qf2uqUBUFjZB9empTuO0A9QFOmvLgK8s60vUDDNmY8SZarkaINFbPy403_eakWboU-JGA2BZtCAAZFKjD5s7HKIc64sDnSiWUADMhQtls7viM8HDyeVxynM6h7ckS2Mwbc6y-qClD1L&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = IE Session Restore: HKU\S-1-5-21-2837671372-3707443137-3094779737-1001 -> [funkcja włączona] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\ProgramData\Soloeco RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader RemoveDirectory: C:\Users\Michal\AppData\Local\Google C:\Users\Michal\AppData\Local\FL6FSOXUY0.dll RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zainstaluj Google Chrome. Następnie zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Ten błąd sugeruje, że usunięto sterownik ATK0100 wymieniany na komunikacie. Z raportu FRST nic nie wynika. Spróbuj z poziomu WinRE przywrócić system do czasu, gdy się uruchamiał. Punktów Przywracania sporo: ==================== Punkty Przywracania systemu ========================= Data punktu przywracania: 2015-09-01 09:44 Data punktu przywracania: 2015-09-01 10:26 Data punktu przywracania: 2015-09-02 11:17 Data punktu przywracania: 2015-09-02 11:34 Data punktu przywracania: 2015-09-04 15:45 Data punktu przywracania: 2015-09-04 15:51 Data punktu przywracania: 2015-09-04 16:34 Data punktu przywracania: 2015-12-18 20:52 Data punktu przywracania: 2015-12-18 20:56 Data punktu przywracania: 2015-12-18 20:57 Data punktu przywracania: 2015-12-18 21:00 Data punktu przywracania: 2015-12-18 21:02 Data punktu przywracania: 2015-12-18 21:03 Data punktu przywracania: 2015-12-18 21:04

Log DelFix jest tu: C:\delfix.txt. I podane powyżej akcje to były ostatnie zadania.

Być może był nadpisany MBR eliminując możliwość uruchomienia programu Recovery. I sama partycja Recovery powinna być jednak ukryta, nie jestem pewna czy to D to była właściwa zawartość. Są specjalne programy dedykowane temu zagadnieniu: KLIK.

Tak jest, plik poprawnie podmieniony. Możemy zakończyć temat: 1. Przez SHIFT+DEL (omija Kosz) skasuj plik C:\Windows\system32\sfc.txt oraz folder E:\FRST. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Jeśli potrzebna najnowsza dostępna dla Vista wersja Adobe Reader, bądź Java, to także linki w tym samym przyklejonym: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj foldery C:\MATS + D:\Diana\Desktop\FRST. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Po akcji jest potrzebny inny log, czyli specyfikacja kopii tego pliku. Tzn. uruchom FRST, w polu Szukaj wklej: aelupsvc.dll.mui Klik w Szukaj plików i dostarcz wynikowy log.

Akcje czyszczące pomyślnie wykonane. Kończąc w tym zakresie: 1. Przez SHIFT+DEL (omija Kosz) dokasuj jakiś dziwny ukryty lecz pusty folder C:\Users\Admin\wc. By go widzieć, należy mieć odfajkowaną opcję "Ukryj chronione pliki systemu operacyjnego" w Opcjach folderów. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. I jak mówiłam, obciążenie zasobów + zawias podczas zamykania to bardziej się kojarzy z ESET, więc dla świętego spokoju sprawdź testową deinstalację (tylko to odcina aktywność sterowników ESET) czy coś wniesie do sprawy. Wtedy będziesz wiedział na 100% co (nie)jest przyczyną tych zachowań.

1. A to bardzo upraszcza sprawę. Usuń je od razu. Przy usuwaniu padnie pytanie czy usuwać też pliki na dysku i to potwierdź. 2. Możesz go zainstalować. Mam wątpliwości jakie było źródło yoursites123. Nowe logi wykażą czy program coś dodatkowego wprowadził. 3. Tak, linki Java w przyklejonym: KLIK. 4. Po wszystkim zrób dla pewności nowy log FRST z opcji Skanuj (Scan), włącznie z Addition i Shortcut.

No to spróbuj usunąć wpisy z rejestru, by wymusić ich aktualizację, a po tym ponowna rekonfiguracja: 1. Skrypt do FRST: Tcpip\Parameters: [DhcpNameServer] 192.168.1.20 172.19.5.1 Tcpip\Parameters: [NameServer] 199.203.131.145 82.163.143.167 Tcpip\..\Interfaces\{2583ED45-891F-436E-B637-2DE714215E0A}: [NameServer] 199.203.131.145 82.163.143.167,8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{2583ED45-891F-436E-B637-2DE714215E0A}: [DhcpNameServer] 192.168.1.20 172.19.5.1 Tcpip\..\Interfaces\{F609D45B-B2ED-4CB9-9173-A7AEF8B78674}: [NameServer] 199.203.131.145 82.163.143.167 Tcpip\..\Interfaces\{F609D45B-B2ED-4CB9-9173-A7AEF8B78674}: [DhcpNameServer] 199.203.131.145 CMD: ipconfig /flushdns Reboot: Ma nastąpić restart. 2. Następnie to: Ręczny restart systemu po w/w rekonfiguracji. 3. Na koniec nowe logi FRST (włącznie z Addition) i wyraźna wypowiedź czy problemy przekierowań nadal występują.

Nie, nie było wirusa. To co wykrył program MBAM to drobne odpadki adware/PUP w Internet Explorer, a Backdoor.Bot był nieaktywny (tylko plik na dysku i brak punktu ładowania, plik mógł być na dysku od dłuższego czasu). Zaś detekcja McAfee podczas usuwania FRST bez znaczenia, to wygląda na wykrycie czegoś w Temp (czyszczonych skryptem FRST). Skrypt FRST wykonany, zastosuj DelFix (wyłączyć antywirusa na czas jego pobierania i uruchamiania). I powyższe w ogóle nie ma żadnego związku z problemami karty graficznej. Zacząłeś od najmniej istotnej rzeczy, czyli Fixa FRST, podczas gdy ustawiłam odpowiednio priorytety: Gdy dostarczysz te dane, mam nadzieję zanalizuje je ktoś inny. To nie jest moja specjalizacja.

Mam wątpliwości czy tu jest jakakolwiek partycja Recovery... Na dysku systemowym są 3 partycje. Przy czym tylko pierwsza jest ukryta (tam są pewnie systemowe pliki startowe) i jest za mała (tylko 400MB), by był tam kompletny obraz systemu. Dwie pozostałe są widoczne, C z systemem i D, D nie wygląda na Recovery. Tak więc pozostaje pytanie do kolegi czy nie robił czegoś z partycjami wcześniej.

Żadnych zmian w konfiguracji serwerów DNS. Czy na pewno wykonałeś to: To najważniejsza akcja, by zaktualizować NameServer.

Inne bazy danych, inne techniki usuwania, inny typ zabezpieczeń. MCShield ma też autoaktualizację baz, to samo w USBFix tylko w wersji płatnej. Program usunął skrót LNK (oba programy to robią). E:\Ten komputer — skrót.lnk.vir to mógł być jakiś skrót utworzony ręcznie, a więc nieszkodliwy. Nie ma potrzeby.

Ten log Addition.txt jest urwany przy końcu. Niemniej w raportach nie widać żadnych niepożądanych zmian od ostatniej weryfikacji. Ostatnio zmodyfikowałam mój post tyczący Adobe Reader i są już dokładne linki bezpośrednie z wyjaśnieniem jak się instaluje program (najpierw baza + potem najnowsza aktualizacja). Wszystko rozpisane tam gdzie zwykle: KLIK. 64-bitowa wersja Java jest ciut starsza: Java 8 Update 65 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86418065F0}) (Version: 8.0.650.17 - Oracle Corporation) Java 8 Update 66 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218066F0}) (Version: 8.0.660.18 - Oracle Corporation)

Nie wiem o co chodzi z tym programem, była na pewno jakaś akcja przed zgłoszeniem się na forum, która naruszyła program. Nie mam pojęcia co to mogła być za akcja. Nie wiem również w jaki sposób był instalowany program i czy yoursites123 jakoś się z tym łączy. Kolejna porcja zadań: 1. Uruchom AdwCleaner ponownie, lecz tym razem dobierz po kolei akcje Skanuj i Usuń. Przedstaw log z czyszczenia. 2. W systemie są aż trzy konta. Dotychczas była sprawdzana Kasia. Zaloguj się po kolei na Anię i Anusię poprzez pełny restart komputera a nie opcje Wyloguj czy Przełącz użytkownika. Na każdym koncie zrób po dwa logi FRST.txt + Addition.txt.

1. W AdwCleaner ponownie opcja Skanuj, a następnie Usuń. Gdy ukończy czyszczenie, kroki końcowe: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

To może być jakiś stary adres zapamiętany w rejestrze. Brak tego:

Zasady działu, tu jest zakaz podpinania się pod cudze wątki: KLIK. Post wydzielony w osobny temat. Adware PriceFountain i inne śmieci nabyłaś podczas pobierania programu WinRAR z portalu dobreprogramy.pl. Na dysku widać świński plik "Asystenta pobierania" tego portalu. Więcej na ten temat: KLIK. To co się tam dzieje na portalu i jemu podobnych woła o pomstę do nieba. Reklamy produkuje zadanie AdducersNecrophilismV2, ale jest więcej obiektów adware. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj niepożądany program typu "PUP" Advanced-System Protector oraz uszkodzony crack aktywacyjny KMSpico v9.1.3. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer1713.exe [236816 2015-10-09] (MustangService) Task: {9A59D0C8-5CC2-4B82-BE3E-278F321BC2E0} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe Task: {CCC0B956-DFBA-414F-BA8F-6E498A89B11F} - System32\Tasks\AdducersNecrophilismV2 => Rundll32.exe TokeShabbier.dll,main 7 1 FF HKLM\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Users\Anka\AppData\Roaming\Mozilla\Firefox\Profiles\h4nkmfj4.default\extensions\sidebarff@gmail.com => nie znaleziono HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\cWdMc RemoveDirectory: C:\ProgramData\TempMoudleSet RemoveDirectory: C:\ProgramData\QWMiniProQ RemoveDirectory: C:\ProgramData\ZWdMZ RemoveDirectory: C:\Users\Anka\AppData\Local\AdducersNecrophilism CMD: del /q "C:\Users\Anka\Downloads\AdwCleaner 4.111.exe" CMD: del /q "C:\Users\Anka\Downloads\WinRAR-12398-dp.exe" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Skrypt z punktu 2 usunie problem PriceFountain, ale jeszcze dodatkowy skan. Używałaś bardzo stary AdwCleaner 4.111.exe, nie wiadomo skąd pobrany. Proszę pobierz z przyklejonego najnowszy KLIK. Uruchom, wybierz opcję Skanuj (nic nie usuwaj), log powstanie w folderze C:\AdwCleaner. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt i log AdwCleaner.

Temat przenoszę do działu Windows. Żadnych związków z infekcją. Ustalmy czy w ogóle widzisz SP1 z poziomu Windows Update, bo brak widoczności SP1 do pobrania ma następujące przyczyny: KB2498452. Podejrzanym jest świeżo doinstalowany Softros Process Blocker, który ładuje się bardzo inwazyjną metodą AppCertDlls (wstrzykiwanie modułów do procesów). I się zastanawiam czy to on przypadkiem nie blokował pracy FRST. Dodatkowo, doinstalowałeś też co dopiero dziwnego delikwenta Spyware Process Detector - w spoilerze go wymieniam. PS. A w spoilerze do usunięcia drobne wpisy szczątkowe oraz akcje podrzędne, bez związku ze zgłoszonym problemem. M.in. rozwiązanie tych błędów z Dziennika: Dziennik System: ============= Error: (12/18/2015 01:03:16 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Spy*ware Pro*cess De*tector v3.24 z powodu następującego błędu: %%1275 Error: (12/18/2015 01:03:16 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \??\C:\Program Files (x86)\Spyware Process Detector\spd324.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Error: (12/18/2015 12:58:34 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Roxio Upnp Server 10. Error: (12/18/2015 12:58:06 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi PLAY ONLINE. OUC z powodu następującego błędu: %%1053 Error: (12/18/2015 12:58:06 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą PLAY ONLINE. OUC.

1. W Google Chrome nadal widać te trzy wpisy: Chrome: ======= CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=153 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1423572356&from=smt&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037","hxxp://www.mystartsearch.com/?type=hp&ts=1423576101&from=tt4u&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037","hxxp://www.sweet-page.com/?type=hp&ts=1423576517&from=cor&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037" CHR Extension: (HD Video Downloader professional) - C:\Users\ala\AppData\Local\Google\Chrome\User Data\Default\Extensions\nannbkggjapgmpangjafgjkkkccmfkdg [2015-11-03] Wyeksportuj zakładki do pliku. Następnie Ustawienia > Ustawienia > Osoby > załóż nowy profil i się na niego zaloguj + zaimportuj zakładki, a poprzedni całkowicie usuń (po zamknięciu okna Chrome z nim załadowanego). Po akcji upewnij się, że zniknął z dysku folder C:\Users\ala\AppData\Local\Google\Chrome\User Data\Default 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Temat przenoszę do działu Windows. To w ogóle nie jest problem infekcji, więc AdwCleaner czy MBAM nie mogły pomóc. Z raportów nic kompletnie nie wynika. Sugestie: - Diagnostyka BSOD - punkt 5: KLIK. - Obciążenie "NT Kernel" jest zwykle związane ze sterownikami (wprowadzonymi przez instalacje zewnętrzne programów lub sprzętowe). Patrząc po datach niedomyślnych sterowników, jedna z ostatnich instalacji 1 grudnia to była Avira, więc ostatecznie można sprawdzić co się stanie po jej tymczasowej testowej deinstalacji. - Poza tym, były tu różne kombinacje z wyłączeniem funkcji śledzących Windows 10 (zainstalowany Spybot Anti-Beacon i widoczne niektóre jego modyfikacje), więc nie wykluczam że jedno z owych działań mogło mieć niekorzystne rezultaty. A nawiasem mówiąc, to śledzenia w Windows 10 nie da się całkowicie wyłączyć. - I bardzo mało wolnego miejsca na partycji E, wszelkie działania odczytu/zapisu tam się wykonujące mogą być obrazowane dużym spowolnieniem. ==================== Dyski ================================ Drive c: () (Fixed) (Total:101.09 GB) (Free:45.62 GB) NTFS Drive e: () (Fixed) (Total:488.18 GB) (Free:3.07 GB) NTFS PS. Aktualizacja starszego systemu do Windows 10 wyłączyła Przywracanie systemu. Miej to na uwadze. I w spoilerze tylko doczyszczanie wpisów szczątkowych / pustych oraz inne akcje podrzędne, co nie ma żadnego związku z problemami.

Router zostawiam w spokoju. Natomiast wracając do innych wątków: 1. Czy na pewno odinstalowałeś RealPlayer? Ja nadal widzę jego potwornie stare wtyczki w Firefox... 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.