picasso

Ta "spacja" jako nazwa folderu nie wygląda na normalną spację tylko na jakiś niestandardowy znak, co utrudnia bezpośrednie komendy. Spróbuj tego (pendrive widziany nadal pod literą F): Otwórz Notatnik i wklej w nim: CMD: del /q /s "\\?\F:\lpt1.UsbFix" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Dostarcz wynikowy fixlog.txt.

1. Hitman wykrył jeszcze szczątki adware ("Potential Unwanted Programs"). Usuń za pomocą programu te wyniki. 2. Na koniec wyczyść foldery Przywracania systemu: KLIK.

Te pliki również nie są naruszone - identyczne sumy kontrolne na moim systemie. W tej sytuacji zrób jeszcze ogólne sprawdzanie plików: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

wojtuq, folder Windows.old nie ma nic do rzeczy. Jeśli miałeś ESET (piję do tego tematu), to prawdopodobnie ta samoistna naprawa nastąpiła przy udziale ESET per se.

Może to pliki MUI PowerViewer są uszkodzone. Zastosuj inną maskę szukania plików. W FRST w polu Szukaj wklej PhotoViewer.dll.mui, klik w Szukaj plików i dostarcz log wynikowy.

Usuwanie przeprowadzone pomyślnie. Kolejna porcja czynności: 1. Zastosuj DelFix w celu usunięcia używanych skanerów. GMER dokasuj ręcznie. 2. Zrób skan za pomocą Hitman Pro. Nic jeszcze nie usuwaj, dostarcz tylko wniki skanu.

To malware typu "bezplikowego", tzn. trzymane w rejestrze i uruchamiane via PowerShell. Rozrusznik PowerShell już usunięty, teraz trzeba usunąć loader malware. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Classes\SIHBRVNNQEQZUX DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

1. Ten wpis PowerShell to na bank była infekcja. Wpis odwoływał się do drugiego klucza i będę sprawdzać czy on jest. Otwórz Notatnik i wklej w nim: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms} Reg: reg query HKCU\Software\Classes\SIHBRVNNQEQZUX /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Problem z przeładowaniem Pulpitu (czyli błąd explorer.exe) to już mówiłam, że tworzy moduł QtCore_Ad_SyncNs_4.dll należący do funkcji Autodesk Sync. Jeśli go rzeczywiście nie ma w ShellExView, to zostają następujące możliwości: Ręczne wyrejestrowanie modułu (co zapewne "uszkodzi" jakąś funkcjonalność pakietu). Próba wyłączenia funkcji Autodesk Sync w opcjach: KLIK. Całkowita deinstalacja programu Autodesk 360 (i sprawdzenie czy nie ma nowszej jego wersji), co zresztą jest widziane przez oficjalny support jako jedyne rozwiązanie tego problemu: KLIK. Dla porównania co jest u Ciebie zainstalowane z grupy Autodesk: ==================== Zainstalowane programy ====================== AutoCAD 2012 - Polski (HKLM\...\AutoCAD 2012 - Polski) (Version: 18.2.51.0 - Autodesk) AutoCAD 2012 - Polski (Version: 18.2.51.0 - Autodesk) Hidden AutoCAD 2012 Language Pack - Polski (Version: 18.2.51.0 - Autodesk) Hidden AutoCAD 2014 — Polski (Polish) (Version: 19.1.18.0 - Autodesk) Hidden AutoCAD 2014 Language Pack – Polski (Polish) (Version: 19.1.18.0 - Autodesk) Hidden AutoCAD Architecture 2012 - Polski (HKLM\...\AutoCAD Architecture 2012 - Polski) (Version: 6.7.49.0 - Autodesk) AutoCAD Architecture 2012 - Polski (Version: 6.7.49.0 - Autodesk) Hidden AutoCAD Architecture 2012 Language Pack - Polski (Version: 18.2.51.0 - Autodesk) Hidden Autodesk 360 (HKLM\...\{52B28CAD-F49D-47BA-9FFE-29C2E85F0D0B}) (Version: 4.0.27.1 - Autodesk) Autodesk App Manager (HKLM-x32\...\{C070121A-C8C5-4D52-9A7D-D240631BD433}) (Version: 1.1.0 - Autodesk) Autodesk AutoCAD 2014 — Polski (Polish) (HKLM\...\AutoCAD 2014 — Polski (Polish)) (Version: 19.1.18.0 - Autodesk) Autodesk Content Service (HKLM-x32\...\Autodesk Content Service) (Version: 3.1.3.0 - Autodesk) Autodesk Content Service (x32 Version: 3.1.3.0 - Autodesk) Hidden Autodesk Content Service Language Pack (x32 Version: 3.1.3.0 - Autodesk) Hidden Autodesk Featured Apps (HKLM-x32\...\{F732FEDA-7713-4428-934B-EF83B8DD65D0}) (Version: 1.1.0 - Autodesk) Autodesk Inventor Fusion 2012 (HKLM\...\Autodesk Inventor Fusion 2012) (Version: 1.0.0.79 - Autodesk, Inc.) Autodesk Inventor Fusion 2012 (Version: 1.0.0.79 - Autodesk, Inc.) Hidden Autodesk Inventor Fusion 2012 Language Pack (Version: 1.0.0.79 - Autodesk, Inc.) Hidden Autodesk Inventor Fusion plug-in for AutoCAD 2012 (HKLM\...\Dodatek Autodesk Inventor Fusion dla programu AutoCAD 2012) (Version: 0.0.1.138 - Autodesk) Autodesk Material Library 2012 (HKLM-x32\...\{8F0837C2-EE09-4903-88F3-1976FE7FFF4E}) (Version: 2.5.0.8 - Autodesk) Autodesk Material Library 2014 (HKLM-x32\...\{644F9B19-A462-499C-BF4D-300ABC2A28B1}) (Version: 4.0.19.0 - Autodesk) Autodesk Material Library Base Resolution Image Library 2012 (HKLM-x32\...\{65420DC9-306E-4371-905F-F4DC3B418E52}) (Version: 2.5.0.8 - Autodesk) Autodesk Material Library Base Resolution Image Library 2014 (HKLM-x32\...\{51BF3210-B825-4092-8E0D-66D689916E02}) (Version: 4.0.19.0 - Autodesk) Dodatek Autodesk Inventor Fusion dla programu AutoCAD 2012 (Version: 0.0.1.138 - Autodesk) Hidden Dodatek Autodesk Inventor Fusion Language Pack dla programu AutoCAD 2012 (Version: 0.0.1.138 - Autodesk) Hidden SketchUp Import for AutoCAD 2014 (HKLM-x32\...\{644E9589-F73A-49A4-AC61-A953B9DE5669}) (Version: 1.1.0 - Autodesk)

FRST wszystkie klucze usunął (omija uprawnienia). To że wracają nie jest związane z uprawnieniami. Co to tego że nie mogłeś usunąć kluczy: tak, bo wyzerowałeś uprawnienia - tam jest zadawane pytanie czy przy ściąganiu dziedziczenia kopiować uprawnienia czy usuwać. Lepiej nie grzeb ręcznie. Tak, bo instalator CCleaner jest sponsorowany. Wg nazwy "zagrożenia" ESET widzi zintegrowany w instalatorze pasek Google, możliwe też paski Yahoo i inne śmieci. Czyste wersje CCleaner to slim i portable, przy czym obecnie na stronie pobierania widać tylko wariant portable: KLIK. Proszę odrzuć koncepcję infekcji. To nie jest problem infekcji, powtarzam to już po raz drugi. Nie wiem co przywraca wpisy, ale te klasy nie są szkodliwe same w sobie i należą do wymienianych wcześniej programów. W diagnostyce co odtwarza te wpisy mógłby pomóc Process Monitor: 1. Ponownie zastosować Fix FRST usuwający klucze podany w poście #18. 2. W Process Monitor operacje: Zatrzymać bieżące nagrywanie poprzez klik w lupkę na pasku narzędzi (ma się "przekreślić"), następnie wyczyścić bieżący widok w menu Edit > Clear Display. W menu Filter > Filter... > skonfigurować filtry dodając trzy warunki: Path contains 7-Zip then Include + Path contains ANotepad++64 then Include + Path contains {4A7C4306-57E0-4C0C-83A9-78C1528F618C} then Include. Dla każdego klik w Add. Zacząć nagrywanie poprzez odkreślenie lupki i czekać aż się pojawią wyniki w oknie, co oznacza nie wyłączanie systemu. W tym czasie nie grzebać w rejestrze i nie wyszukiwać podanych nazw ręcznie, bo stworzysz "fałszywe" wyniki, tzn. Process Monitor nagra Ciebie w oknie. Jeśli coś się pojawi, dostarcz log (File > Save).

Twoje wyniki: C:\Windows\winsxs\x86_microsoft-windows-photoviewer_31bf3856ad364e35_6.1.7601.17514_none_de45f5282dfa523b\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1456128 ____A (Microsoft Corporation) 5170D04359E5D54A06B084AA5D833115 [Plik podpisany cyfrowo] C:\Windows\winsxs\amd64_microsoft-windows-photoviewer_31bf3856ad364e35_6.1.7601.17514_none_3a6490abe657c371\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1727488 ____A (Microsoft Corporation) 254EEFA92A3438879E2A80BD76B0378F [Plik podpisany cyfrowo] C:\Windows\SysWOW64\PhotoViewer.dll [2015-10-01 14:24][2015-10-01 14:24] 1638912 ____A (Microsoft Corporation) 51ACA8428A24946B8FAA80B45093095A [brak podpisu cyfrowego] C:\Windows\System32\PhotoViewer.dll [2015-10-01 14:24][2015-10-01 14:24] 1844224 ____A (Microsoft Corporation) 6DCB6E47167F66C3D797B93BB1CCA386 [brak podpisu cyfrowego] C:\Program Files (x86)\Windows Photo Viewer\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1456128 ____A (Microsoft Corporation) 5170D04359E5D54A06B084AA5D833115 [Plik podpisany cyfrowo] C:\Program Files\Windows Photo Viewer\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1727488 ____A (Microsoft Corporation) 254EEFA92A3438879E2A80BD76B0378F [Plik podpisany cyfrowo] C:\Program Files\Windows Photo Viewer\pl-PL\PhotoViewer.dll [2015-10-08 00:32][2015-10-08 00:52] 1727488 ____A (Microsoft Corporation) 254EEFA92A3438879E2A80BD76B0378F [Plik podpisany cyfrowo] Dla porównania wyniki z mojego systemu: C:\Windows\winsxs\x86_microsoft-windows-photoviewer_31bf3856ad364e35_6.1.7601.17514_none_de45f5282dfa523b\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1456128 ____A (Microsoft Corporation) 5170D04359E5D54A06B084AA5D833115 [Plik podpisany cyfrowo] C:\Windows\winsxs\amd64_microsoft-windows-photoviewer_31bf3856ad364e35_6.1.7601.17514_none_3a6490abe657c371\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1727488 ____A (Microsoft Corporation) 254EEFA92A3438879E2A80BD76B0378F [Plik podpisany cyfrowo] C:\Program Files (x86)\Windows Photo Viewer\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1456128 ____A (Microsoft Corporation) 5170D04359E5D54A06B084AA5D833115 [Plik podpisany cyfrowo] C:\Program Files\Windows Photo Viewer\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1727488 ____A (Microsoft Corporation) 254EEFA92A3438879E2A80BD76B0378F [Plik podpisany cyfrowo] Pliki w system32 i SysWOW64 są niepoprawne i nie wiadomo skąd w systemie (ręcznie kopiowałeś?). Takich instancji nie ma domyślnie w systemie. Reszta plików DLL jest poprawna. Toteż na razie usuńmy te dwie wadliwe instancje, by sprawdzić czy coś się zmieni w kwestii błędu. Otwórz Notatnik i wklej w nim: C:\Windows\System32\PhotoViewer.dll C:\Windows\SysWOW64\PhotoViewer.dll Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Pokaż wynikowy fixlog.txt. Podaj czy nadal widzisz błąd. W logu wpis był. Czy na pewno kliknąłeś w Zmień (tam widać spis stron)?

Proszę dodaj więc jeszcze log z poziomu RE. Może on coś tu dopowie.

Fix wykonany. Czy udało Ci się usunąć w całości ten folder "bez nazwy"? Infekcja przesunęła do niego utworzony kiedyś przez USBFix folder autorun.inf zablokowany przez nazwę zastrzeżoną. Planowałam jego usuwanie w skrypcie, ale FRST go nie znalazł.

W raportach nie widać żadnych oznak infekcji w Operze... Szczątki adware sweet-page.com w Internet Explorer nie są powiązane. Jedyne co jest podejrzane, to wpis uruchamiający moduł PowerShell w starcie. Prawdopodobnie FRST obciął tu jakieś argumenty i nie widać całej składni. Będę pobierać dane w skrypcie FRST o tym wpisie oraz go usuwać. HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\...\Run: [{CAEE8A98-C212-4BC2-85C7-A20F792B6F76}] => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [478720 2014-10-29] (Microsoft Corporation) Błąd powoduje moduł QtCore_Ad_SyncNs_4.dll firmy Autodesk. Podobny problem z forum: KLIK. Dziennik Aplikacja: ================== Error: (10/27/2015 10:06:19 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.3.9600.17667, sygnatura czasowa: 0x54c6f7c2 Nazwa modułu powodującego błąd: QtCore_Ad_SyncNs_4.dll_unloaded, wersja: 4.8.2.0, sygnatura czasowa: 0x50d3fca7 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000265fe Identyfikator procesu powodującego błąd: 0x328 Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0 Ścieżka aplikacji powodującej błąd: Explorer.EXE1 Ścieżka modułu powodującego błąd: Explorer.EXE2 Identyfikator raportu: Explorer.EXE3 Pełna nazwa pakietu powodującego błąd: Explorer.EXE4 Identyfikator aplikacji względem pakietu powodującego błąd: Explorer.EXE5 Na razie do wykonania te akcje: 1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 19 NPAPI (to wersja dla nieistniejącego tu Firefox), Adobe Reader XI (11.0.13) - Polish, Java 8 Update 31 (64-bit), Java 8 Update 45, WebStorage (program ASUSa, który notabene też może tworzyć błędy explorer.exe). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Radek\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\...\Run: [{CAEE8A98-C212-4BC2-85C7-A20F792B6F76}] => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [478720 2014-10-29] (Microsoft Corporation) HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\...\Policies\Explorer: [] HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms} HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1964063513-2035544804-3093838741-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms} S2 McAfee SiteAdvisor Service; "c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe" [X] Task: {15BA5C04-6E39-4FB5-9272-674BAFADA546} - System32\Tasks\{B6B10F02-61F2-4786-AF18-4561B7049D48} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: {19FC62D2-8FC2-4A5E-9C65-1A18AF84680C} - System32\Tasks\{568BCDCC-1D96-4AA1-8492-E0D59FBBAF2A} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: {5235726F-2656-49DE-BCAE-27CDC6574EF8} - System32\Tasks\{239AD7B8-7017-4E5C-B798-93771B2F9697} => pcalua.exe -a D:\Gry\h3\Heroes3.exe -d D:\Gry\h3 Task: {7FB9404E-3BBC-4EBB-92C5-CF872E927A78} - System32\Tasks\{464AAE9A-1D3A-4AB7-A396-3AABBAA61128} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: {9AEE307B-966E-4FEA-871F-77B4A68E92D9} - System32\Tasks\{E81CFAFC-09EF-477D-8EC1-AF5016977A53} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: {9D2D8119-4AF5-4D79-9856-CAF7B4FEEE70} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {A4D1D345-1E9E-4232-B1A1-DD6AF9021AB9} - System32\Tasks\{53B79750-FACB-4FEC-B3D6-A4C3D6E12C8D} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry Task: {B58AAF6E-7279-4DD5-8016-A25CD7F3E147} - System32\Tasks\{01D9E136-14D9-492E-8135-427A28EC00D1} => pcalua.exe -a G:\Setup.exe -d G:\ Task: {B816C5E5-11E9-4329-B363-CD7B0DD59AE0} - System32\Tasks\{E57CA208-B52E-4415-A2E1-EE2D149650DA} => pcalua.exe -a D:\Programy\NapiProjekt\unins000.exe Task: {C6E016A6-01AD-4895-9803-936D5A13FDD0} - System32\Tasks\{D91F130D-248A-418A-8C8B-856C7698226A} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: {E0297AB1-C495-4006-BE04-97E13F3EF681} - System32\Tasks\{97752F7D-6D22-4EAD-AD55-4A3D067839AA} => pcalua.exe -a G:\Setup.exe -d G:\ Task: {E0B5C2F4-DACC-4032-B4B7-D38FE0D2C3E9} - System32\Tasks\{F487C4BA-2949-40B6-B315-AA1F8A4FFDD0} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: {E80AB6E3-EDF7-4CD4-9ED3-C8FBEC6E129A} - System32\Tasks\{3BAB2F40-5C3B-4221-A455-7347A80F8ABE} => pcalua.exe -a "C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uplay.exe" -d "C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher" Task: {EEA998D8-883B-42C9-98D0-63DBBD4B2274} - System32\Tasks\{A34B2B2D-B842-4C34-9B1F-ECB599E2FE48} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: {F98E2999-E284-42E5-BF9A-8B51FBF4828E} - System32\Tasks\{02D2E79B-2DB1-4377-8A89-E113369ADCF5} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Championship Manager 01-02 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live C:\ProgramData\Microsoft\Windows\Start Menu\Programs\League of Legends C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Mighty Quest For Epic Loot C:\Users\Radek\AppData\Roaming\Microsoft\Word\grzejniki%20moje304776991222908570\grzejniki%20moje.docx.lnk C:\Users\Radek\Desktop\Studia\Radek\STUDIA MOJE\Semestr I\Mechanika\*.lnk C:\Users\Radek\Desktop\Studia\Radek\STUDIA MOJE\Semestr II\Wytrzymałość\*.lnk C:\Windows\System32\Tasks\McAfee DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\McAfee Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v f.lux /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po usunięciu tego wpisu PowerShell jest jakaś zmiana w Operze.

Proszę tytułuj tematy zgodnie z problemem zasadniczym. Zmieniam to bezpłciowe "Proszę o pomoc" na bardziej rzeczowy. I to nie jest problem infekcji. 1. Temat przenoszę do działu Hardware ze względu na błąd w Dzienniku zdarzeń; Error: (10/26/2015 08:14:22 PM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: ZARZĄDZANIE NT) Description: Wystąpił krytyczny błąd sprzętowy. Zgłoszone przez składnik: rdzeń procesora Źródło błędu: 3 Typ błędu: 9 Identyfikator procesora: 4 Widok szczegółów tego wpisu zawiera dodatkowe informacje. Dostarcz: - Dane wymagane działem Hardware: KLIK. - Paczkę plików DMP. Skopiuj na Pulpit folder C:\Windows\Minidump, spakuj do ZIP i shostuj gdzieś. Kto inny prawdopodobnie poprowadzi temat. Nie zajmuję się prowadzeniem tematów sprzętowych, nie jest to moja specjalizacja. 2. Nie wykluczam jednak, że problem BSOD tworzy zainstalowany program oparty na sterownikach. Konkretnie tu narzuca się sterownik Internet Download Manager powstały / aktualizowany nieco ponad tydzień temu (czyli blisko dat BSOD): 2015-10-16 12:29 - 2015-06-12 02:00 - 00123968 _____ (Tonec Inc.) C:\Windows\system32\Drivers\idmwfp.sys I jest jeszcze kobyła Bitdefender Total Security jeżdżąca na starych sterownikach z 2013 oraz sterownik VD_FileDisk datowany na 2011 od wtyczki Total Commander, co może być nie bez znaczenia. PS. W spoilerze doczyszczanie odpadków adware, nie powiązane z powyższymi BSOD.

Zanim przejdziesz do reinstalacji systemu, jeszcze sprawdź co się stanie po całkowitej deinstalacji Kasperskiego. Zacznij od normalnej via Panel sterowania, następnie w Trybie awaryjnym jeszcze popraw narzędziem Kaspersky Remover.

Temat przenoszę do działu Windows. Brak oznak infekcji. 1. Wyłączony Windows Defender: nie ma tu problemu. W systemie jest zainstalowany dodatkowy antywirus Avast. Tego typu instalacje wręcz powinny deaktywować wbudowany w system Windows Defender i zwykle to robią, by zapobiec obciążeniu i kolizjom. U Ciebie usługa Windows Defender ma Typ uruchomienia Ręczny a nie Automatyczny i to jest OK przy obecności zewnętrznego antywirusa: S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [272952 2008-01-21] (Microsoft Corporation) Nawiasem mówiąc, Windows Defender w wersji wbudowanej w systemy Vista i Windows 7 to przestarzały program o limitowanej użyteczności. Na systemach Windows 8 i 10 jest inny lepszy Windows Defender, tzn. Microsoft Security Essentials przemianowany na "Windows Defender". 2. Ogólny spadek wydajności: z raportów nic nie wynika. Przetestuj czy nastąpi poprawa w tych dwóch sytuacjach: w trybie czystego rozruchu (KLIK) oraz po deinstalacji Avast. 3. Widzę zainstalowany HDD Regenerator. Ten program nie jest tu polecany: KLIK. Precyzyjne dane podaje raport z FRST w nagłówku: Platform: Microsoft® Windows Vista™ Home Premium Service Pack 2 (X86) Język: Polski (Polska) Internet Explorer Wersja 9 (Domyślna przeglądarka: Opera) PS. W spoilerze masz dodatkowe kosmetyczne korekty, które nie mają związku ze zgłaszanymi problemami.

Z raportów nic nie wynika, a w systemie nadal jest poprzednia wersja KIS 2015. W tej sytuacji zostaje uruchomienie Przywracania systemu do daty sprzed preóby aktualizacji Kasperskiego. Log FRST potwierdza, że są dwa punkty dostępne: ==================== Punkty Przywracania systemu ========================= 15-10-2015 02:12:50 Zaplanowany punkt kontrolny 22-10-2015 03:29:29 Zaplanowany punkt kontrolny

Jedyne co tu podejrzanego widzę, to "krzaczaste" zadanie w Harmonogramie zadań: Task: {759E520C-752B-4659-803C-8BD48CE83C73} - System32\Tasks\IdlePowerSave => C:\windows\Idle\DetectIdleTask.exe [2010-07-30] (TODO: ) Został też odpadkowy aktywny sterownik po odinstalowaniu Avira. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędnik: Adobe Reader 9.1 - Polish, Bing Bar, Java 7 Update 55. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {6012A0C7-2D33-4D06-B27C-74D5BC44D97E} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: {759E520C-752B-4659-803C-8BD48CE83C73} - System32\Tasks\IdlePowerSave => C:\windows\Idle\DetectIdleTask.exe [2010-07-30] (TODO: ) R1 ssmdrv; C:\windows\System32\DRIVERS\ssmdrv.sys [31848 2015-09-01] (Avira Operations GmbH & Co. KG) SearchScopes: HKU\S-1-5-21-958697659-640684066-2621023205-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\Temp Folder: C:\Windows\Idle C:\Windows\Idle C:\Windows\system32\Drivers\ssmdrv.sys Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Norton Online Backup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan) na następujących warunkach: odznaczone pole Filtrowanie dla sekcji Internet oraz zaznaczone pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

Ten folder to jakiś odpadek, bo nie ma zainstalowanego powiązanego programu. W tej sytuacji i tak może być skasowany, tylko z innego powodu niż sugeruje to AdwCleaner. Czyli teraz: 1. Uruchom AdwCleaner ponownie, wybierz sekwencję akcji Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Grzesiek\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Grzesiek\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Grzesiek\Downloads\7bmxbtnq.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Jedyne co tu widać od infekcji, to te dwa strumienie NTFS, które MBAM klasyfikuje jako Rootkit.ADS: AlternateDataStreams: C:\Program Files\CCleaner:Win32App AlternateDataStreams: C:\Program Files\Microsoft Silverlight:Win32App Ale prawdopodobnie to nie ma związku z opisywanymi objawami. Tu bardziej są podejrzane programy zabezpieczające. ESET Smart Security ma wbudowany firewall oraz tworzy filtry na kartach sieciowych, co jest najsilniejszym terenem podejrzeń tutaj. Zresztą ESET produkuje błędy w Dzienniku zdarzeń: Error: (10/23/2015 01:55:21 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: egui.exe, wersja: 8.0.319.0, sygnatura czasowa: 0x559d2313 Nazwa modułu powodującego błąd: ToastNotify.dll, wersja: 8.0.319.0, sygnatura czasowa: 0x559d2398 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0000000000002f3e Identyfikator procesu powodującego błąd: 0x6e8 Godzina uruchomienia aplikacji powodującej błąd: 0xegui.exe0 Ścieżka aplikacji powodującej błąd: egui.exe1 Ścieżka modułu powodującego błąd: egui.exe2 Identyfikator raportu: egui.exe3 Pełna nazwa pakietu powodującego błąd: egui.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: egui.exe5 Kolejny delikwent to Spybot - Search & Destroy, który wprowadził różne immunizacje starej daty (gruby plik host przetwarzający ponad 15 tysięcy wpisów, multum witryn z ograniczeniami) - nie są zdrowe z punktu widzenia operatywności. Program jest przestarzały konstrukcyjnie i ma niską skuteczność w kwestii bieżących zagrożeń. Działania wstępne: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i omawiane wyżej programy: Adobe AIR, Adobe Flash Player 18 PPAPI, Adobe Reader XI (11.0.13) - Polish, Adobe Shockwave Player 12.1, ESET Smart Security, Java 8 Update 31 (64-bit), Spybot - Search & Destroy. 2. Doczyszczanie immunizacji i wpisów odpadkowych (m.in. po upgradzie z Windows 7 do Windows 10). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AlternateDataStreams: C:\Program Files\CCleaner:Win32App AlternateDataStreams: C:\Program Files\Microsoft Silverlight:Win32App HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKLM-x32\...\Run: [] => [X] Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-2454217800-4098174176-1273974903-1002\...\Run: [ASRockXTU] => [X] HKU\S-1-5-21-2454217800-4098174176-1273974903-1002\...\Run: [ASRockRuefi] => [X] HKU\S-1-5-21-2454217800-4098174176-1273974903-1002\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-18\...\Run: [KSS] => "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe" autorun BootExecute: autocheck autochk * sdnclean64.exe U3 idsvc; Brak ImagePath S3 MBfilt; \SystemRoot\system32\drivers\MBfilt64.sys [X] S3 vmci; \SystemRoot\System32\drivers\vmci.sys [X] S3 VMnetAdapter; \SystemRoot\system32\DRIVERS\vmnetadapter.sys [X] S2 VMnetBridge; system32\DRIVERS\vmnetbridge.sys [X] U3 wpcsvc; Brak ImagePath Task: {07CBCCD8-0747-465C-AA85-422C600FC39D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {08232113-65B2-4C4F-86B9-963849EEDB80} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {0D8D414F-B5E3-4E52-8897-9C5946EFC6B3} - System32\Tasks\{A281F081-DBF6-457E-87C2-6832A80A956B} => pcalua.exe -a C:\Users\wojtuq\Desktop\RST(v11.7.0.1013)\setup.exe -d C:\Users\wojtuq\Desktop\RST(v11.7.0.1013) Task: {0FA54428-D0D8-4869-89C5-50EF898F0756} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {1313ECE4-2317-4022-9449-99528B2F1208} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {14CAD480-329C-4F3B-A4FD-2DFDE15272E3} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {17330D57-19D3-49B5-B138-4EA50F6FA008} - System32\Tasks\{BCC40D4B-72C4-4DC8-952E-0AA0E323BF44} => D:\Games\The Sims 3\Game\Bin\TS3W.exe Task: {1B694387-6003-465F-BBF3-3CE23BC844C6} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {1ED57D2F-997B-478A-A40E-0CCA4DA05997} - System32\Tasks\{F1E2602C-7AD7-4C81-B948-E96E1AC7A15A} => D:\Games\The Sims 3\Game\Bin\Sims3Launcher.exe Task: {308FFEED-811A-43BA-94E3-2D1956C0F49C} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {34408122-F3EA-44A1-B31C-2C61A10263D8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {44DF6C3A-9AF5-4AB6-926A-522B110F54FC} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {4820CFDD-D774-49A1-A8AA-E6F269BA1E4E} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {4B7BE732-8C8F-4216-845C-4F1B4D2E4344} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-07-15] (Google Inc.) Task: {5A83D962-B68B-4787-A538-BD0DA0EC1F07} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {5DEDCE9E-8761-476B-9639-4B733CA141ED} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {5EE9A77E-7052-44BB-82E8-545EF772D40A} - System32\Tasks\TempCheck => c:\programdata\{c403c7f2-910f-f9af-c403-3c7f29101fca}\cfos speed 10.8 keygen.exe Task: {5F041F60-BF41-469B-984A-788CF081C8A6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {68CB4F04-2681-4E58-891C-169238D1EB50} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {692C4267-4A7F-4EC3-9A66-7EC6A0FEE047} - System32\Tasks\AutoPico Daily Restart => C:\Users\wojtuq\Desktop\Nowy Task: {718ACFAE-85AD-4570-9B76-FD6D22152BAF} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {7B8A91EC-0E31-42C4-B350-2186588BB18B} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {7CA0C69F-A017-455B-AAC4-49ED0DA07957} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {850B435F-BDA2-4A94-A0F2-4346443B7D1E} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {86E71142-EE8A-466B-AF0D-BF29BC63FC4A} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {87CEBA4F-9471-4716-A278-96A9867DAE03} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-07-15] (Google Inc.) Task: {8DFDE043-9206-4619-B60F-D1E80A74B1A2} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {8F1D9E0E-3E3B-44A8-B7D2-CA27FA289E86} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {923C3619-4DC7-40C6-89B7-340F82566DE3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {9F299351-8014-4A3F-91BD-016FB2BA6F97} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {A0A6930C-72AC-4216-AAF7-5B07DBDD871E} - System32\Tasks\{EEBDAEF3-1BCD-4038-A195-1CC65EF343B9} => pcalua.exe -a C:\Users\wojtuq\Desktop\Intel_RST_MB\iata_cd.exe -d C:\Users\wojtuq\Desktop\Intel_RST_MB Task: {AE22E57C-A88E-4067-A3A3-E0D8D4DE5C7B} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B83098D8-3607-46AA-BC46-E2F1CCE6AE5A} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {B8BA3D9E-CD5A-428D-B928-F08D858A0D84} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {BBEB6AB5-F263-42A7-AA57-0F8D8FAD0B31} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {BCDECA98-61FF-4E0F-A895-A90BC3EE0480} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {BDC1200C-3ACC-4936-A2D7-03EBDF8B8CAB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C36F80BB-25E5-4763-95DF-5735D4557890} - \SmartShare -> Brak pliku Task: {CA1B9AA1-2FA3-44F3-869E-2F256ECAFC74} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {E6433514-9FF5-4FE7-9409-2DFE66BBFF4D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {E6B03917-2761-46C1-A1DC-C4B29B131F1E} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {FB42172A-E67F-4327-8B88-EDD9854A8AC5} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {FCE05CDA-D06C-4D7F-9470-EDFD8A763CD6} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\TempCheck.job => c:\programdata\{c403c7f2-910f-f9af-c403-3c7f29101fca}\cfos speed 10.8 keygen.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\Program Files (x86)\Google C:\Users\wojtuq\AppData\Local\del C:\Users\wojtuq\AppData\Local\Temp.dat C:\Users\wojtuq\AppData\Local\user_data.ini C:\Windows\ehome C:\WINDOWS\System32\Drivers\etc\hosts.*.backup C:\Windows\System32\Tasks\Microsoft\Windows\Media Center Hosts: Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom Zoek. W oknie wklej: Google Update Helper;u Klik w Run Script. Powstanie plik zoek-results.log - zmień mu nazwę z *.log na *.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też pliki fixlog.txt i zoek-results.txt. Wypowiedz się czy jest poprawa w działaniu sieci.

Nie o to mi chodziło. Automatyczną naprawę należało pominąć, by wejść do menu opcji odzyskiwania pokazującej m.in. Wiersz polecenia. Skoro już uruchomiłeś tę auto-naprawę, to poczekaj aż skończy i powtórka z wejściem do opcji.

Fix FRST pomyślnie wykonany. FRST był też zdolny pobrać zawartość pendrive i jest potwierdzone, iż został zastosowany ten trik o którym mówiłam. Teraz akcja tycząca czyszczenia pendrive. Zakładam, że nadal jest widziany poid literą F: 1. Otwórz Notatnik i wklej w nim: BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_51\bin\ssv.dll => Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_51\bin\jp2ssv.dll => Brak pliku F:\Removable Drive (4GB).lnk RemoveDirectory: F:\ \Autorun.inf RemoveDirectory: F:\System Volume Information CMD: attrib /d /s -s -h F:\* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Jeśli wszystko pójdzie dobrze, na pendrive zobaczysz folder "bez nazwy". Wejdź do niego, przenieś wszystkie swoje dane (pomijając śmieci) poziom wyżej, a folder przez SHIFT+DEL skasuj.

Rucek, nie skupiaj się na tych literach dysków, w RE mapowanie jest inne i może się zmieniać, a FRST i tak to zmieni jeszcze raz remapując tymczasowo, by dysk z Windows był pod C. Masz tylko podświetlić wybraną wykrytą instancję systemu pasującą do Windows który masz na myśli, by wejść do opcji odzyskiwania, a tam Wiersz polecenia i uruchamiasz FRST.

Uszkodzone Dzienniki zostaną przebudowane wg kroków poniżej: 1. Otwórz Notatnik i wklej w nim: CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. System może się dłużej uruchamiać ze względu na wyłączenie Dziennika. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Skopiuj go w inne miejsce niż siedzi FRST, bo kolejny punkt nadpisze bieżący log. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\*.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. Dostarcz oba pliki fixlog.txt. 1. Jeszcze sprawdź czy nadmiar uruchomionych procesów ma coś do rzeczy. Wykonaj test z czystym rozruchem: KLIK. Jeśli nie będzie widocznych zmian, wykonaj testową deinstalację Avast, by się upewnić, że to nie antywirus. 2. W przypadku braku rezultatów załóż temat w dziale Hardware podając wymagane działem dane (KLIK) oraz linkując tu do tematu, by było wiadomo co już zrobiono. Kto inny prawdopodobnie się zajmie tematem, nie prowadzę wątków sprzętowych, gdyż nie jest to moja specjalizacja.

Akcja pomyślnie wykonana. Teraz: 1. Skasuj folder C:\Users\Dyrekcja\Desktop\FRST. Następnie zastosuj DelFix. 2. Zrób skan za pomocą Hitman Pro. Nic jeszcze nie usuwaj, tylko dostarcz wyniki skanu.