picasso

Problemem nie jest infekcja i temat zostanie przeniesiony do działu Windows. Defekt jest ulokowany w kontach. Konto Julia stało się kontem tymczasowym przekierowanym na inną ścieżkę, ze względu na nieokreśloną "Odmowę dostępu". Problemem może być uszkodzenie trwałe konta, błędy dysku i podobne sytuacje. Uruchomiony z C:\Windows\System32\config\systemprofile\Desktop\Nowy folder Załadowane profile: False (Dostępne profile: Julia & UpdatusUser & Gość) <==== UWAGA (Profil tymczasowy?) ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-3165617500-2676056306-2059482004-500 - Administrator - Disabled) Gość (S-1-5-21-3165617500-2676056306-2059482004-501 - Limited - Enabled) => C:\Users\Gość HomeGroupUser$ (S-1-5-21-3165617500-2676056306-2059482004-1005 - Limited - Enabled) Julia (S-1-5-21-3165617500-2676056306-2059482004-1000 - Administrator - Enabled) => C:\Users\TEMP.Julia-Komputer UpdatusUser (S-1-5-21-3165617500-2676056306-2059482004-1002 - Limited - Enabled) => C:\Users\TEMP Dziennik Aplikacja: ================== Error: (12/04/2017 07:40:04 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1505) (User: Julia-Komputer) Description: System Windows nie może załadować profilu użytkownika, ale wykonał logowanie przy użyciu domyślnego profilu systemowego. SZCZEGÓŁY - Odmowa dostępu. Error: (12/04/2017 07:37:25 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1500) (User: Julia-Komputer) Description: System Windows nie może wykonać logowania, ponieważ nie można załadować Twojego profilu. Sprawdź, czy masz połączenie z siecią i czy sieć działa poprawnie. SZCZEGÓŁY - Odmowa dostępu. Zostanie podjęta próba odzyskania konta, a gdy się nie powiedzie, opcją będzie założenie nowego. Działania do przeprowadzenia: 1. Potrzebne konto pośrednie do przeprowadzenia operacji. Włącz wbudowane konto Administrator. Start > w polu szukania wpisz lusrmgr.msc > z prawokliku Uruchom jako Administrator. Dwuklik w Użytkownicy > dwuklik w Administratora i włącz konto. 2. Wyloguj się całkowicie z obecnego tymczasowego konta poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika. Zaloguj się na Administratora. Uruchom na nim Reprofiler. Rozłącz konto Julia opcją Detach, a następnie połącz z folderem C:\Users\Julia. 3. Zresetuj komputer. Zaloguj się na Julia. Jeśli logowanie nastąpi pomyślnie i nie będzie komunikatu o logowaniu via profil tymczasowy, zrób nowe raporty z FRST (wszystkie trzy).

Types Strona domowa Platforma: Windows XP, Vista, Windows 7 Licencja: GPL (open source) Types - Lekkie narzędzie konfiguracyjne obsługujące zarządzanie typami plików, o wiele lepsze i czytelniejsze niż natywna zakładka typów plików w Windows. Aplikacja umożliwia: kasowanie typów plików, edytowanie skojarzeń programowych, modyfikowanie ikon / menu kontekstowych i innych skorelowanych danych. Ma purystycznie lecz zgrabnie rozwiązany cały interfejs z podziałem na klasy i typy. We właściwościach rozszerzenia więcej danych. Narzędzie nie wymaga instalacji. Windows XP: wymagane .NET Framework 2.0.

Komunikat z obrazka jest związany ze zintegrowanym w FRST ERUNT i nic w tej kwestii nie można zdziałać. Niestety ostatni Fix również nieskuteczny. Kolejne podejście: 1. Panel sterowania > Programy > zainstalowane aktualizacje > upewnij się że nie ma tam pozycji KB3004394. Jeśli jest. Odinstaluj. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartBatch: net stop cryptsvc esentutl /p C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb /o net start cryptsvc EndBatch: Folder: C:\Windows\system32\catroot2 Folder: C:\Windows\system32\catroot2.OLD Folder: C:\Windows\system32\catroot2.bak Folder: C:\Windows\system32\catroot Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

O ile wpisy "Brak pliku" zostały poprawnie ukryte po naprawie Path, niestety masowy "Brak podpisu cyfrowego" od góry do dołu. Kolejne podejście: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: StartBatch: net stop CryptSvc ren C:\Windows\System32\catroot2 catroot2.OLD EndBatch: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dostarcz też fixlog.txt.

Nic już nie przywracaj przy pomocy Jv16 PowerTools. Teraz po skanie chkdsk ponów te działania: Narzędzie wcześniej było już pobrane, ale czy na pewno zostało poprawnie uruchomione? W ostatnim logu FRST nie było świeżo utworzonego folderu "Catroot2.bak", który powstaje gdy się uruchamia opcję agresywną. Nie zapomnij wybrać trybu "Aggressive".

Szukasz w Eksploratorze Windows, a ja mówiłam o Dzienniku zdarzeń. Start > w polu szukania wpisz eventvwr.msc > rozwiń gałąź Dzienniki systemu Windows > Aplikacja > w kolumnie Źródło szukaj "Wininit". Jakie wpisy? Usunięte wpisy "Brak pliku", o których tu mówiłam, zostały już odtworzone w moim skrypcie FRST, a fałszywe zgłoszenie "Brak pliku" zniknęło poprzez stworzenie zmiennej Path (o ile wykonałeś). Ten C:\Documents and settings to link symboliczny zapętlony zwrotnie, dlatego ścieżka tak długa. Ta ścieżka Cię nie interesuje, to link, ścieżka zasadnicza to C:\Users.

Punkt 1 nie był związany ze skanem. Co z punktem 2? Detekcja custmon32i.dll wygląda na fałszywy alarm. Ten plik jest używany przez różne aplikacje (poprawne i szkodliwe), u Ciebie prawdopodobnie pochodna instalacji PDF Creator. A Kingsoft jako taki i tak był planowany przeze mnie do deinstalacji (po naprawie systemu), bo to stary program i już nierozwijany. Więcej tutaj: KLIK. Co masz na myśli?

Wpisy uprzednio usunięte za pomocą skryptu FRST zostały pomyślnie przywrócone (widać je ponownie jako "Brak pliku"). Path definitywnie jest naruszone, tzn. w ogóle brak tej zmiennej, stąd fałszywe odczyty "Brak pliku". W kwestii masowego "Braku podpisu cyfrowego", brak zmian po użyciu Fix It. I problem uszkodzenia bazy Catroot2 wygląda na powiązany z uszkodzeniami struktury plików, o czym mówi zarówno ekran ze sprawdzaniem spójności, jak i komunikat FRST o uszkodzeniu. Uszkodzenia dysku mogą być też przyczyną spowolnienia systemu. Nie jest wykluczone, że jest ogólny problem z dyskiem. Wstępnie: 1. Panel sterowania > System i konserwacja > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe klik w "Nowa", jako nazwę wprowadź Path, a jako wartość zmiennej następujący ciąg: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem Zresetuj system, by zmiany weszły w życie. 2. Start > w polu szukania wpisz cmd > z prawokliku "Uruchom jako administrator" > w oknie wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie i resetuj system, by checkdisk wykonał pracę. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 3. Na razie pomijam naruszenie Catroot2, trzeba obejrzeć wyniki z naprawiania checkdisk. PS. A temat przenoszę do działu Windows, problemy w ogóle nie są pochodną infekcji.

Przepraszam, zaćmiło mnie. Oczywiście nakładka tylko spod działającego Windows i to tutaj definitywnie odpada. To już omówione przez mnie. Skan w trybie "offline" nie nagrywa logów i nie ma żadnych danych poza tym co już wykryte. Skan z FRST jest ograniczony tylko do wybranych plików i nie jest w żadnym wypadku odpowiednikiem skanu SFC. Jak mówiłam, moim zdaniem naprawa, sprowadzona do podstawiania pliku za plikiem w odpowiedniej wersji z alternatywnego systemu, nie wydaje się opłacalna, a wyniki reperacji nie mają gwarancji. Jawne 48 plików do podmiany, reszta plików też budzi podejrzenia i jeszcze nie wiadomo ile jest takich uszkodzeń. W związku z tym proponuję skopiować z poziomu płyty ważne dane z tego systemu na alternatywny nośnik i system postawić od nowa. Dla jasności, mogę się podjąć tego podstawiania plików, ale wydaje mi się to po prostu nie warte zachodu.

Skan SFC na razie opuść. Widać dwa typy uszkodzeń nienaprawialne via SFC: 1. Prawdopodobne naruszenie zmiennej Path ("Brak pliku" na wpisach relatywnych Microsoftu). Niestety niektóre zostały przetworzone w skrypcie FRST i trzeba to odkręcić. S3 WinHttpAutoProxySvc; winhttp.dll [X] HKLM\...\Providers\Internet Print Provider: inetpp.dll HKLM\...\Providers\LanMan Print Services: win32spl.dll HKLM\...\Run: [OA001Cfg.exe] => OA001Cfg.exe Filter: application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku Filter: application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku Filter: application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku ContextMenuHandlers1: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers2: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers4: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku Task: {C8B3025B-D21E-4527-BBC6-CDFBFEB026E1} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => BthUdTask.exe UWAGA: ==> Nie można uzyskać dostępu do BCD. 2. Masowy "Brak podpisu cyfrowego" wynika z dysfunkcji Usług kryptograficznych. Log sugeruje uszkodzenie bazy Catroot2, gdyż w Dzienniku widać następujący błąd: Dziennik Aplikacja: ================== Error: (11/18/2017 08:54:39 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: ) Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -583. 1. Wstępnie skrypt pobierający dane o zmiennej Path, importujący wcześniej usunięte wpisy z rejestru oraz usuwający drobne śmieci. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA (Brak ServiceDLL) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" MSCONFIG\startupreg: HP Software Update => FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: (Microsoft .NET Framework Assistant) - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2013-01-17] [Przestarzałe] [Brak podpisu cyfrowego] CHR HKU\S-1-5-21-129483142-3514389360-151311165-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\jan\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx <nie znaleziono> DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main CMD: set StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\BriefcaseMenu] @="{85BBD920-42A0-1069-A2E4-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu] @="{85BBD920-42A0-1069-A2E4-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}] @="Briefcase" "InfoTip"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\ 6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\ 00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\ 2d,00,32,00,32,00,39,00,31,00,37,00,00,00 "LocalizedString"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,\ 6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\ 00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\ 2c,00,2d,00,32,00,32,00,39,00,37,00,38,00,00,00 "FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\ 00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,\ 32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,\ 00,2c,00,2d,00,32,00,32,00,39,00,37,00,38,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\DefaultIcon] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,79,00,\ 6e,00,63,00,75,00,69,00,2e,00,64,00,6c,00,6c,00,2c,00,30,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\InProcServer32] @="syncui.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex\PropertySheetHandlers] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex\PropertySheetHandlers\{1f2e5c40-9550-11ce-99d2-00aa006e086c}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\ShellFolder] "Attributes"=dword:70000136 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}] @="Shell extensions for sharing" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}\InProcServer32] @="ntshrui.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc] "DisplayName"="@%SystemRoot%\\system32\\winhttp.dll,-100" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,00,00 "Description"="@%SystemRoot%\\system32\\winhttp.dll,-101" "ObjectName"="NT AUTHORITY\\LocalService" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "Type"=dword:00000020 "DependOnService"=hex(7):44,00,68,00,63,00,70,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,00,6c,\ 00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,\ 00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "FailureActions"=hex:00,5c,26,05,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc\Parameters] "ServiceDll"=hex(2):77,00,69,00,6e,00,68,00,74,00,74,00,70,00,2e,00,64,00,6c,\ 00,6c,00,00,00 "ServiceMain"="WinHttpAutoProxySvcMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,14,00,14,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,14,00,14,00,\ 00,00,01,01,00,00,00,00,00,05,06,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 EndRegedit: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Powstanie kolejny fixlog.txt. 2. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny - opcja uwzględnia reset bazy Catroot2. 3. Zresetuj system. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dostarcz też fixlog.txt.

Duplikaty łączę. Dostarcz dane wymagane działem: https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

Temat założony w złym dziale (publikacja tutoriali), przenoszę. Tytuł dopasowuję do treści. Nie, ComboFix nie obsługuje systemów Windows 8.1 i Windows 10. Jeśli potrzebujesz pomocy z malware, dostarcz wymagane działem dane; https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

Wszystko wykonane. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku: C:\FRST C:\WINDOWS\ZAM_Guard.krnl.trace C:\WINDOWS\ZAM.krnl.trace ... oraz AdwCleaner, FRST i jego logi z katalogu Pobrane. 2. Wyczyść foldery Przywracania systemu: KLIK. Po wykonaniu w/w czynności nowy log nie wykazuje poprzednich błędów. Gdyby coś się jednak działo (dla porównania ten wątek) możesz odinstalować wymieniony program.

Problemem jest szkodliwy wpis startowy "explorer". Przy okazji, widać błędy i nadprodukcję plików Intel z błędami. Na razie przestawię tylko powiązane usługi na Ręczny i usunę pliki logów. Jeśli nie pomoże, odinstalujesz Intel® Driver Update Utility. Działania do przeprowadzenia: 1. Odinstaluj zbędny program HP Customer Participation Program 14.0. 2. W Firefox odinstaluj rozszerzenie Youtube Downloader - 4K Download, powiązane z dystrybucją adware. Szukaj go w sekcji "Przestarzałych rozszerzeń". W Chrome pozbądź się analogicznej produkcji tej samej marki Flash Video Downloader. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-77619612-1921695928-275116232-1001\...\Run: [ROG] => explorer.exe hxxp://ozirizsoos.info Task: {6854DAAD-B69D-43DC-800E-814316C6A7E1} - System32\Tasks\ROG => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v ROG /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" Task: {FD384B4C-B997-43CA-93B1-41F6E64C9D34} - System32\Tasks\Driver Booster SkipUAC (ROG) => C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku R1 ZAM; C:\Windows\System32\drivers\zam64.sys [203680 2016-12-20] (Zemana Ltd.) R1 ZAM_Guard; C:\Windows\System32\drivers\zamguard64.sys [203680 2016-12-20] (Zemana Ltd.) DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions C:\Users\ROG\AppData\Roaming\r.cmd C:\WINDOWS\ZAM.krnl.trace C:\WINDOWS\ZAM_Guard.krnl.trace C:\WINDOWS\system32\default_error_stack-*.txt C:\Windows\System32\drivers\zam64.sys C:\Windows\System32\drivers\zamguard64.sys Hosts: CMD: sc config ESRV_SVC_QUEENCREEK start= demand CMD: sc config SystemUsageReportSvc_QUEENCREEK start= demand CMD: sc config USER_ESRV_SVC_QUEENCREEK start= demand Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Są też inne drobne śmieci (puste wpisy, inne wpisy utworzone przez ComboFix, śmieci Asystenta kompatybilności, niepodpisane cyfrowo rozszerzenia FF, etc.) do usunięcia. Wykonaj fixlist.txt o następującej zawartości: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\EX64.SYS [X] MSCONFIG\Services: SDScannerService => 2 MSCONFIG\Services: SDUpdateService => 2 MSCONFIG\Services: SDWSCService => 2 MSCONFIG\Services: ServiceLayer => 3 Task: {1182B16F-B8D8-4140-A621-7C2FE8B6D2EF} - System32\Tasks\{1A9D120A-E5E8-409E-8C2C-CF76BB62E3DE} => C:\Users\Asus\Desktop\R120ODD1.EXE Task: {126A863A-55D3-476E-9767-461F6C6D30BC} - System32\Tasks\{4C839ED5-B831-4E68-BD7F-7944BB47B2F5} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\jxpiinstall(1).exe -d C:\Users\Asus\Desktop Task: {336E5313-1A02-4520-BFA3-7CD289971A72} - System32\Tasks\{B62370DB-A6D2-488E-A8C0-24BE605C53E1} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\rmclock_235_bin.exe -d C:\Users\Asus\Desktop Task: {42DD5195-B710-4211-8E40-F1F3A969690E} - System32\Tasks\{EEE6898E-0F12-4FCB-8BC3-D6E230FAC236} => C:\Users\Asus\Desktop\R410ODD1.EXE Task: {458BF3B1-0D09-489B-87BE-4895917CAFA7} - System32\Tasks\{A69C8ADD-7E09-4D8B-89D4-A3C343039A0A} => C:\Program Files (x86)\DVBT\AVCapture.exe Task: {6AE47AE8-CABC-4E6A-9EAA-9892048C8C66} - System32\Tasks\{9B3478AC-B743-4272-8C95-762194BF5685} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\irfanview_plugins_430_setup.exe -d C:\Users\Asus\Desktop Task: {7017B731-C6F5-49C1-BDD7-E05784B8C8EA} - System32\Tasks\{85439239-48E0-4D56-BC32-3BAF080FAB54} => C:\Windows\system32\pcalua.exe -a E:\Software\RE-7500_Driver\Driver\FTDIUNIN.EXE -d E:\Software\RE-7500_Driver\Driver Task: {8137B42C-5678-4360-986F-B2D1B4FB11E2} - System32\Tasks\{48EA677F-2A64-42ED-A00C-CCA682AF1E16} => C:\Users\Asus\Desktop\R160VOL2.EXE Task: {87C01D68-5A71-408D-96D0-ACCD63DA5975} - System32\Tasks\{0A2F6E7C-E9C4-43B4-AB67-553EB4174CA4} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\epson324599eu.exe -d C:\Users\Asus\Desktop Task: {8F8D67D1-79F2-4356-8CA0-3A5DACC79F53} - System32\Tasks\{E837B853-47C2-4F05-93A1-1D18FEAD69AF} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\sp52461.exe -d C:\Users\Asus\Desktop Task: {B85373ED-EED4-4B01-B708-E07E32537E09} - System32\Tasks\{DA456E5D-2ADC-4A3A-9F16-8BA1E4C1A6BD} => C:\Users\Asus\Desktop\R160VOL2.EXE Task: {CE426B1F-7B8B-421F-B116-F5D730E93FB5} - System32\Tasks\{75EC2E16-9100-41CC-9137-12008542B49E} => C:\Windows\system32\pcalua.exe -a "C:\Users\Asus\Desktop\kamerka Liftec\Medion\SETUP.EXE" -d "C:\Users\Asus\Desktop\kamerka Liftec\Medion" Task: {EB6DBCB5-B2BA-4B8A-AFB7-D6186EDA6A0E} - System32\Tasks\{E12FBCCA-EDF5-4957-90E8-8E596C97EE54} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\irfanview_lang_polski.exe -d C:\Users\Asus\Desktop Task: {D3E0D1BF-C810-4BBF-A28B-8115CC5FC60A} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe Task: {EE5CF97D-EF44-4783-86A6-FBF7BD235A41} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe Task: {F31402AF-0FE2-4238-90B7-DE1C4666ABA9} - System32\Tasks\{688B642D-622B-4E00-A14D-E9217759A7D3} => C:\Users\Asus\Desktop\EEPROM.exe Task: {FB4CF6EA-73D7-4AAC-B171-AED22AFE1827} - System32\Tasks\{AB74D821-6E27-4E84-BABD-D100B5761601} => C:\Users\Asus\Desktop\EEPROM.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-96536358-3161396084-2614321931-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game Park RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\Asus\AppData\Roaming\AVAST Software RemoveDirectory: C:\Users\Asus\AppData\Roaming\TomTom RemoveDirectory: C:\Windows\System32\Tasks\Norton Identity Safe RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking StartBatch: del /q C:\ProgramData\mntemp del /q C:\Users\Asus\Downloads\antimalwaresetup.exe del /q C:\Windows\system32\Drivers\25C68225.sys netsh advfirewall reset EndBatch: Przedstaw wynikowy fixlog.txt. PS. I na przyszłość czego nie pobierać: Avenger (przestarzały), HijackThis (przestarzały, natywnie niezgodny z systemem 64-bit), Plumbytes (lewy program). Przy okazji, właściwości lecznicze ComboFix są na dzień dzisiejszy słabe, program nie ma specjalizacji w infekcjach adware/PUP i coraz mniej osób go używa w procedurach dezynfekcji (a ja ostatni raz zaleciłam go ... kilka lat temu). Pokasuj z Pobranych ostatnie narzędzia.

Tu nie ma uszkodzenia. Mamy do czynienia z następującym systemem: Platform: Windows 7 Home Premium Service Pack 1 (X64) Język: Polski (Polska) Na edycjach Home usługa AppMgmt nie występuje. Dzięki temu wpisowi w logach od razu można się zorientować jakie narzędzie używano. To skutek użycia ComboFix, który błędnie "przywraca" wpis tej usługi w rejestrze na edycjach na których jej nie ma być. To niepoprawny i niedziałający element, który należy całkowicie usunąć, a nie "naprawiać". PS. Odczyt "Brak ServiceDLL" odnosi się do rejestru, a nie do obecności pliku na dysku. SFC w ogóle nie zajmuje się reperacjami rejestru, więc nawet gdyby to było rzeczywiste uszkodzenie, poza skalą SFC.

Wyciąg z Szukaj plików wykazuje masową dewastację komponentów, wyróżniam dwie nieprawidłowe grupy: ----> Wszystkie odczyty z sumą kontrolną D41D8CD98F00B204E9800998ECF8427E (suma ciągu pustego) oraz bez opisu "Microsoft" to pliki definitywnie uszkodzone: ----> Pozostałe wyniki pozornie wyglądające "OK" poprzez opis "Microsoft" też wyglądają podejrzanie, różne wersje komponentów mają wspólną sumę kontrolną, tak jakby kopiowano "na oko" ten sam plik w różne miejsca. Powiązane sumy kontrolne nie wyglądają na prawidłowe. Na szybko przykład: Zdewastowane komponenty nie posiadają poprawnej kopii alternatywnej w WinSxS, a kopie spoza tego systemu na dysku X: RE oraz cache ComboFix są za stare i niekompletne (te z dysku X: są tylko 64-bitowe, podczas gdy mamy też naruszenia 32-bitowe), więc pliki musiałyby być kopiowane z innego systemu posiadającego identyczne wersje komponentów. I może nie pomóc podstawienie tylko głównych wersji plików w system32/SysWOW64 (KnowDLLs jest bardzo "czułe" i pamiętam przypadek BSOD z forum wymagający uzgodnienia wszystkich kopii), a uzupełnienie wszystkich wersji komponentów w WinSxS to pracochłonna robota, nie można "na oko" powielać tego samego pliku, każdy komponent ma inną sumę kontrolną MD5. Poza tym, wyniki wyszukiwania nie wróżą za dobrze, podobna sytuacja może być w obszarze innych komponentów których log FRST po prostu nie wykaże, a danych nie można potwierdzić (SFC nie nagrywa raportu w trybie "offline"). Jest zbyt dużo jawnych uszkodzeń oraz podejrzenie wielu innych uszkodzeń. Poddaję w wątpliwość próby szczegółowej reperacji systemu reanimowanego z padniętego dysku. Sugeruję raczej wykonanie tzw. nakładkowej reperacji, która daje większą gwarancję "przebicia" większej ilości uszkodzonych plików:

W raporcie FRST rzuca się w oczy następująca informacja: ==================== Known DLLs (filtrowane) ========================= C:\Windows\System32\kernel32.dll BRAK <==== UWAGA [2016-12-22 01:20] - [2016-10-11 16:31] - 001068544 _____ () C:\Windows\System32\MSCTF.dll [2017-04-04 14:05] - [2017-04-04 14:05] - 000000000 _____ () C:\Windows\SysWOW64\rpcrt4.dll Jeden z kluczowych plików nieobecny, dwa pozostałe uszkodzone (brak etykiety Microsoftu). Log z FRST jest mocno ograniczony tylko do elementów stricte startowych, więc to prawdopodobnie nie są wszystkie uszkodzenia. Na jednym z zrzutów ekranów jest też informacja o uszkodzeniu cng.sys, choć nie mam pewności czy coś już nie zostało tu naprawione (może sfc /scannow z "off"), bo w logu figuruje jako świeżo utworzony: 2017-11-11 15:37 - 2016-11-20 15:07 - 000467392 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\cng.sys Na razie: Uruchom FRST ponownie, w polu Szukaj wpisz 4 nazwy plików rozdzielone średnikami (bez spacji pomiędzy): kernel32.dll;MSCTF.dll;rpcrt4.dll;cng.sys Klik w Szukaj plików i dostarcz log Search.txt utworzony tam skąd uruchamiasz FRST.

Opis sugeruje, że może być wymagana reinstalacja całego systemu. Podaj dokładne szczegóły / kody błędu pokazujące się na ekranie naprawczym. Na wszelki wypadek dodaj też raport z FRST zrobiony z poziomu środowiska zewnętrznego: Polecenie podstawowe sfc /scannow adresuje bieżący system, czyli to wyniki z innego systemu niż ze zdefektowanego dysku i są tu zupełnie nieprzydatne. Natomiast polecenie z przełącznikami "off" nie nagrywa danych do CBS.log, tylko na Windows 7 komunikat nie podaje tej informacji, na nowszych platformach dodano do komunikatu treść: "Details are included in the CBS.Log windir\Logs\CBS\CBS.log. For example C:\Windows\Logs\CBS\CBS.log. Note that logging is currently not supported in offline servicing scenarios." Czyli brak danych i nie ma jak tu ruszyć.

Infomacyjnie:

Adres 93.184.220.29 jest ponoć związany z certyfikatami: link, link.

Ta karta nie wykazuje śladów infekcji.

Wersja 1709 wydana co dopiero i wdrażanie via Windows Update jest robione partiami, tzn. na razie nie wszyscy użytkownicy mają tę ofertę na Windows Update, dlatego u Ciebie najwyższa wykryta edycja to 1703. Tak się dzieje chyba przy każdej edycji w czasie bardzo bliskim jej wydania. Komunikat o dostępności starszej aktualizacji zniknie, jeśli zaktualizujesz system przy udziale Asystenta aktualizacji. Aktualizacja edycji zeruje cały folder Windows.

+ Na dysku jest definitywnie więcej niż jeden profil (Default + Profile Numer). Widać też że co dopiero robiłeś próbę tworzenia kolejnego profilu (Profile 1 zmieniło się w Profile 2), ale ta operacja nie zmieniła stanu rzeczy i nadal jest więcej niż jeden folder profilu. Skoro w opcjach widzisz tylko jedną Osobę, to oznacza że poprzedni profil jest martwy i należy ręcznie usunąć katalog martwego profilu. To załączę w skrypcie poniżej. Operacje zadane w punkcie 2 tyczyły tylko bieżącego profilu (są nieaktualne po utworzeniu nowego, co właśnie uczyniłeś), nie wpływają w ogóle na ilość profilów / ich folderów na dysku. Już usunąłeś to narzędzie z dysku, ale w Twoim pierwszym logu był widoczny: 2017-10-16 13:01 - 2017-10-16 13:01 - 000448512 _____ (OldTimer Tools) C:\Users\Rafał\Downloads\TFC.exe Archiwalny opis programu na forum: KLIK. Jak mówiłam, ten program nie powinien być stosowany na nowszych systemach niż Windows 7. 1. Usunięcie pustych wpisów / odpadków. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" EndRegedit: CustomCLSID: HKU\S-1-5-21-886091981-26357939-1909133584-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Rafał\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-886091981-26357939-1909133584-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Rafał\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-886091981-26357939-1909133584-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Rafał\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => Brak pliku Task: {1CF04B0B-D27D-4CAD-892A-D77B2C69EF0C} - System32\Tasks\SafeZone scheduled Autoupdate 1479649039 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe Task: {703DB337-CF41-453C-A2EB-01BF44B10AA6} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-07-12] (AVAST Software) Task: {79C06A0F-BDAC-4397-BD62-46C870285ECB} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM-x32\...\RunOnce: [!CD] => C:\Windows\temp\dragon_setup.exe [70057568 2017-10-17] (Comodo) <==== UWAGA HKLM\...\StartupApproved\Run: => "Malwarebytes TrayApp" HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\StartupApproved\Run: => "RESTART_STICKY_NOTES" HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\StartupApproved\Run: => "Steam" HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\StartupApproved\Run: => "BitTorrent" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\Program Files (x86)\metadata RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\NCH Software RemoveDirectory: C:\Program Files (x86)\reports RemoveDirectory: C:\ProgramData\{6E35203C-6E98-4378-8362-112CFE55C2C1} RemoveDirectory: C:\ProgramData\adaware RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\ProgramData\Avira RemoveDirectory: C:\ProgramData\dbg RemoveDirectory: C:\ProgramData\IObit RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files RemoveDirectory: C:\ProgramData\Lavasoft RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\NCH Software RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\UniqueId RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Europa Universalis IV Rights of Man RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FireFly Studios RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paradox Interactive RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SEGA RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stronghold Crusader 2 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War ROME II Emperor Edition RemoveDirectory: C:\Users\Rafał\AppData\Local\AdAwareDesktop RemoveDirectory: C:\Users\Rafał\AppData\Local\AdAwareUpdater RemoveDirectory: C:\Users\Rafał\AppData\Local\drmingw RemoveDirectory: C:\Users\Rafał\AppData\Local\Firefox RemoveDirectory: C:\Users\Rafał\AppData\Local\GG RemoveDirectory: C:\Users\Rafał\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\Rafał\AppData\Local\Google\Chrome\User Data\System Profile RemoveDirectory: C:\Users\Rafał\AppData\LocalLow\Mozilla RemoveDirectory: C:\Users\Rafał\AppData\Roaming\Avira RemoveDirectory: C:\Users\Rafał\AppData\Roaming\GG RemoveDirectory: C:\Users\Rafał\AppData\Roaming\icfib RemoveDirectory: C:\Users\Rafał\AppData\Roaming\NCH Software RemoveDirectory: C:\Users\Rafał\AppData\Roaming\New Version Available RemoveDirectory: C:\Users\Rafał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Delete Doctor RemoveDirectory: C:\Windows\AutoKMS RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są na razie potrzebne. 2. Jest tu też aspekt cracka KMS: S2 KMSEmulator; C:\ProgramData\KMSAuto\bin\KMSSS.exe [301056 2015-07-24] (MDL Forum, mod by Ratiborus) [Brak podpisu cyfrowego] R2 KMSServerService; C:\Windows\KMSServerService\KMS Server Service.exe [236032 2017-10-16] (My Digital Life Forums) [Brak podpisu cyfrowego] R3 ptun0901; C:\Windows\system32\DRIVERS\ptun0901.sys [27136 2014-08-08] (The OpenVPN Project) 2017-10-15 22:36 - 2017-10-16 22:36 - 000000000 ____D C:\Windows\AutoKMS 2017-10-15 22:36 - 2017-10-15 22:36 - 000003758 _____ C:\Windows\System32\Tasks\AutoKMS 2017-10-15 22:35 - 2017-10-15 22:36 - 000000000 ____D C:\ProgramData\Microsoft Toolkit 2017-10-15 22:32 - 2017-10-15 22:32 - 000000000 ____D C:\ProgramData\KMSAuto 2017-10-15 22:18 - 2014-08-08 18:31 - 000027136 _____ (The OpenVPN Project) C:\Windows\system32\Drivers\ptun0901.sys 2017-10-15 22:18 - 2014-05-25 02:36 - 000015360 _____ C:\Windows\system32\SppExtComObjHook.dll 2017-10-15 22:18 - 2014-05-25 02:36 - 000004608 _____ C:\Windows\system32\SppExtComObjPatcher.exe 2017-10-15 22:17 - 2017-10-15 22:38 - 000000000 ____D C:\Users\Rafał\AppData\Local\MSfree Inc 2017-10-15 22:16 - 2017-10-15 22:16 - 000000000 __RHD C:\Windows\KMS Crack został już częściowo uszkodzony (prawdopodobnie przez AdwCleaner), gdyż w Harmonogramie figurowało uszkodzone zadanie AutoKMS kierujące donikąd. To zadanie załączone powyżej w skrypcie naprawy, ale resztę cracka to należy odwrócić deinstalatorem cracka. 3. Jeśli chodzi o komunikat o naruszeniu WMI, który nadal figuruje, to nadal nie jest wykluczony wpływ COMODO. Niemniej na wszelki wypadek poproszę o raport diagnostyczny z WMI Diagnosis Utility. Skrypt należy uruchomić jako Administrator, czyli po rozpakowaniu narzędzia do jakiegoś folderu w krótkiej ścieżce dostępu i bez spacji: klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep ścieżkę do pliku WMIDiag.vbs i ENTER. Wynikowemu raportowi zmień ręcznie rozszerzenie z *.log na *.txt, by wszedł w załączniki.

Skorzystaj z Asystenta aktualizacji, który jest zawsze linkowany na stronie głównej pobierania Windows 10. Asystent instaluje najnowszą dostępną linię. PS. Instalacje z Windows Update też powinny podstawić najnowszą dostępną wersję (z pominięciem pośrednich). Np. ostatnio z Windows Update aktualizowałam wersję początkową RTM od razu do Wersji 1703.