picasso

Nie zmienia to instrukcji. Notujesz problemy z ładowaniem stron, toteż sugeruję zmienić serwery DNS. A ta doinstalowana gra wprowadziła obiekty, które są aktywne i przez skaner klasyfikowane jako "niepożądane".

jessika Zły import rejestru dostosowany pod starsze systemy! "Windows Defender" w Windows 8/8.1 i Windows 10 to nie jest ten sam program co w starszych systemach, tylko najnowsza wersja Microsoft Security Essentials pod zmienioną nazwą. FRST nie filtruje programów zabezpieczających, więc jeśli Windows Defender nie jest uszkodzony, jest widoczny: Windows 7 i Vista: ==================== Usługi (filtrowane) ======================== R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation) Windows 10 i 8/8.1: ==================== Usługi (filtrowane) ======================== R3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [277760 2015-07-10] (Microsoft Corporation) R2 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23264 2015-07-10] (Microsoft Corporation) ===================== Sterowniki (filtrowane) ========================== S0 WdBoot; C:\WINDOWS\System32\drivers\WdBoot.sys [37400 2015-07-10] (Microsoft Corporation) R0 WdFilter; C:\WINDOWS\System32\drivers\WdFilter.sys [245600 2015-07-10] (Microsoft Corporation) R2 WdNisDrv; C:\WINDOWS\System32\Drivers\WdNisDrv.sys [97632 2015-07-10] (Microsoft Corporation) Trzeba będzie odkręcać to co zrobiłaś, bo żadnym cudem nie będzie działać konstrukcja ze starego systemu. Suchar Zacznijmy od tego, że infekcję nabyłeś używając cracka aktywacji. Na dysku widać było wyraźnie, że powstał KMSPico, a trzy minuty później już szkodliwe zadanie w Harmonogramie: 2015-09-08 17:03 - 2015-09-08 17:03 - 00466944 __RSH C:\WINDOWS\SysWOW64\adtschema6.dll 2015-09-08 17:03 - 2015-09-08 17:03 - 00002656 _____ C:\WINDOWS\System32\Tasks\Kiaxu 2015-09-08 17:00 - 2015-09-08 17:09 - 00000000 ____D C:\Program Files (x86)\KMSPico 10.0.6 To ta infekcja zdewastowała usługi zabezpieczeń Windows. Jeśli chodzi o nieszczęsny Windows Defender, z raportu wynika, że masz wyciętą w pień połowę w/w zestawu. W FRST w ogóle nie widać tych dwóch usług WdNisSvc + WinDefend (z poprawką na to, że później jessika przywróciła tę drugą w formie ze starych systemów). Są tylko sterowniki, które notabene mają przestawiony tryb startu na Ręczny: S3 WdBoot; C:\Windows\system32\drivers\WdBoot.sys [44568 2015-07-10] (Microsoft Corporation) S3 WdFilter; C:\Windows\system32\drivers\WdFilter.sys [291680 2015-07-10] (Microsoft Corporation) S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [119648 2015-07-10] (Microsoft Corporation) Dwie brakujące usługi muszą zostać ręcznie odbudowane. Niemniej w pierwszej kolejności trzeba potwierdzić czy na pewno tylko tego brakuje. FSS mówi, że nie został naruszony folder C:\Program Files\Windows Defender (są wykrywane w nim dwa pliki podpisane cyfrowo), a przynajmniej nie w części którą sprawdza FSS. 1. Poproszę o więcej danych na temat stanu katalogu. Do Notatnika wklej: Folder: C:\Program Files\Windows Defender Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy plik fixlog.txt. 2. Poza tym, poproszę o świeże raporty FRST z opcji Skanuj (Scan), zaznacz pole Addition. .

Temat przenoszę, to nie jest problem infekcji. Obawiam się, że problemem może być nie kto inny a antywirus Comodo, gdyż ma silne związki z tymi strefami. Na próbę go odinstaluj i sprawdź jakie to przyniesie rezultaty. Tym bardziej, że i tak jest problem z jego rejestracją w obszarze WMI: Tak, widać to w raporcie FRST Addtion, jedyny zarejestrowany program to systemowy Windows Defender: ==================== Centrum zabezpieczeń ======================== AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} Ponowną rejestrację WMI wymusza m.in. reinstalacja programu. Jeśli masz na myśli: {09BA8F6D-CB54-424B-839C-C2A6C8E6B436) - Thunder Network: KLIK. PrivDog - To jest to komponent Comodo: KLIK. To wszystko są odpadki i nie mają znaczenia. Ale jeśli chcesz się ich pozbyć, to dodaj skan na klucze których FRST nie obejmuje. Do Notatnika wklej: Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\Extensions" /s Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\MenuExt" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\MenuExt" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Temat sprzątam. Pod bardziej dopasowanym tytułem przenoszę do działu Windows. Ten komunikat zawierał podpowiedź gdzie szukać. Problemem jest konfiguracja usługi pomocniczej Konstruktor punktów końcowych audio systemu Windows (AudioEndpointBuilder), tzn. błędna ścieżka ServiceDll kierująca na inny plik niż AudioEndpointBuilder.dll. Prawdopodobnie siedzi tam "duplikat", tzn. ścieżka Audiosrv.dll od usługi Windows Audio (Audiosrv). Usługa AudioEndpointBuilder nie została tu w ogóle sprawdzona. Poproszę o odczyt jaki jest stan aktualny. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\AudioEndpointBuilder /s File: C:\Windows\System32\AudioEndpointBuilder.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

jessica To już dawno rozwiązane w FRST. auburn Temat przenoszę do działu Windows. O ile problem nadal aktualny: Po pierwsze, dostarcz nowe raporty FRST, by było wiadome jakie zmiany wystąpiły. W pierwszych był notowany masowy rekord [File not signed] dla ogromnej ilości sterowników, co zwykle oznacza uszkodzenie bazy danych Usług kryptograficznych systemuy Windows. Podejrzane strefy: 1. Ogromny plik HOSTS, conajmniej 1000 rekordów, liczba faktyczna nieznana. FRST, by ograniczyć długość skanu, liczy tylko do 1000: 2015-05-17 20:45 - 2015-05-17 23:04 - 00519714 ____A C:\Windows\system32\Drivers\etc\hosts 127.0.0.1 localhost 0.0.0.0 fr.a2dfp.net 0.0.0.0 m.fr.a2dfp.net 0.0.0.0 mfr.a2dfp.net 0.0.0.0 ad.a8.net 0.0.0.0 asy.a8ww.net 0.0.0.0 static.a-ads.com 0.0.0.0 atlas.aamedia.ro 0.0.0.0 abcstats.com 0.0.0.0 ad4.abradio.cz 0.0.0.0 a.abv.bg 0.0.0.0 adserver.abv.bg 0.0.0.0 adv.abv.bg 0.0.0.0 bimg.abv.bg 0.0.0.0 ca.abv.bg 0.0.0.0 www2.a-counter.kiev.ua 0.0.0.0 track.acclaimnetwork.com 0.0.0.0 accuserveadsystem.com 0.0.0.0 www.accuserveadsystem.com 0.0.0.0 achmedia.com 0.0.0.0 csh.actiondesk.com 0.0.0.0 ads.activepower.net 0.0.0.0 app.activetrail.com 0.0.0.0 stat.active24stats.nl #[Tracking.Cookie] 0.0.0.0 traffic.acwebconnecting.com 0.0.0.0 office.ad1.ru 0.0.0.0 cms.ad2click.nl 0.0.0.0 ad2games.com 0.0.0.0 ads.ad2games.com There are 1000 more lines. Duży plik HOSTS ma skutki uboczne. Dla porównania najbardziej drastyczny przypadek, który powodował że aplikacje się uruchamiały 15 minut, a odczyty sieciowe były mocno spowolnione: KLIK. 2. Programy zabezpieczające. Tu AntiLogger Zemany, IObit Malware Fighter, Malwarebytes Anti-Exploit, Surfing Protection (wszedł z Advanced SystemCare). Na początek odinstaluj całkowicie IObit Malware Fighter (jest stary) + Surfing Protection i sprawdź czy jest jakaś poprawa. Jeśli nie będzie rezultatów, sprawdzić kolejne programy. 3. Dodatki i wtyczki zamontowane w Firefox. Mowa była o reinstalacji Firefox, a nic o tym czy przy reinstalacjach usuwano profil (podejrzewam, że nie). Mógłbyś sprawdzić jak chodzi Firefox po odświeżeniu ustawień: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Proces nie usuwa zakładek, historii i haseł, ale wszystkie preferencje i rozszerzenia tak. Ogólnie masz całą kolekcję programów IOBit. Sugeruję pozbyć się wszystkiego. Nie polecam tej marki, mam słabe zaufanie ze względu na te fakty: notoryczne zabawy w adware w instalatorach wersji free, podejrzane praktyki promocyjne, w przeszłości złapani na kradzieży bazy danych MBAM.

Fix wykonany, ale nie on tu był najważniejszy. Czy sprawdziłeś sugestie 1+2, czy są jakieś pozytywne wyniki?

Temat przenoszę do działu Windows. Brak tu raportów z tego konta. Logi FRST zostały zrobione z poziomu konta administracyjnego User: Ran by User (administrator) on MOJLEN (17-08-2015 10:59:13) Running from C:\Users\User\Downloads Loaded Profiles: User (Available Profiles: User & witek) Logi FRST muszą być robione na każdym koncie z osobna, by widzieć rzeczy charakterystyczne tylko dla danego konta. Zaloguj się na konto witek poprzez pełny restart komputera (a nie opcje Wyloguj / Przełącz użytkownika). Pobierz i uruchom FRST przez dwuklik - nie stosuj opcji "Uruchom jako Administrator, bo zmieni to kontekst konta na User. Zrób skan z zaznaczoną opcją Addition (Shortcut nie jest mi potrzebny po raz drugi). Z podanych tu raportów z konta administracyjnego nic nie wynika. Jedyne co mogę stwierdzić, to że 12 sierpnia były aktualizacje Windows oraz (de)instalacje programów, m.in. owego Baidu oraz AMD Catalyst Control Center. Ten błąd jest charakterystyczny dla wadliwych lub niekompatybilnych rozszerzeń zintegrowanych w powłoce explorer. Skoro to się dzieje przy operacjach w sekcji Panel sterowania, to być może to rozszerzenia Panelu sterowania są problemem. Diagnostyka gdzie leży problem jest prowadzona przy udziale programu ShellExView x64, któty notabene widzę pobrany. W programie przez klik w kolumnę Company posortuj wpisy tak by wszystkie niedomyślne, tzn. wyróżnione na różowym tle, zostały zgrupowane razem. Z wciśniętym CTRL zaznacz wszystkie różowe, z prawokliku wyłącz i zresetuj system. Jeśli błąd ustąpi, zastosuj odwrotność akcji tylko w partiach, tzn. zaznacz uprzednio wyłączoną grupę tego samego producenta i włącz > restart systemu > i tak dalej, aż wyłowisz który obiekt przywraca problem. Nawiasem mówiąc to zastanowił mnie ten stary COMODO PC TuneUP działający w tle. Podano skrypt FRST bez objaśnień co on ma robić. Ten skrypt nie miał żadnego związku z Twoimi problemami i nie mógłby ich rozwiązać, był natury "kosmetycznej" - tylko usunięcie wpisów odpadkowych (pustych) i czyszczenie lokalizacji tymczasowych. Tak, skrypt miał być wykonany na koncie o uprawnieniach administracyjnych. I jeszcze w Dzienniku zdarzeń błąd: System errors: ============= Error: (08/17/2015 09:31:51 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Usługa biometryczna systemu Windows zależy od usługi Menedżer poświadczeń, której nie można uruchomić z powodu następującego błędu: %%1058 Wejdź do services.msc, dwuklik na Menedżer poświadczeń i Typ uruchomienia przestaw na Ręczny.

Temat został założony w nieodpowiednim dziale. Przenoszę do działu diagnostyki infekcji. Przed założeniem tematu były stosowane różne programy (AdwCleaner i ComboFix), a wyniki ich działań nie zostały przedstawione. Komponenty ComboFix zresztą nadal były w procesach podczas tworzenia raportów. Na temat używania ComboFix: KLIK. Jedyne co tu czynnego w Chrome widać to polityki blokujące funkcje Chrome. Jest jeszcze Firefox zainfekowany adware. Żaden z tym obiektów nie może mieć związku ze spowolnieniem systemu. Spowolnienie jest prędzej wynikiem aktywności rozbudowanego inwazyjnego pakietu Panda Global Protection 2015. Działania do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe Flash Player 17 ActiveX, Adobe Flash Player 17 NPAPI, Adobe Reader X (10.1.0) - Polish, Browser Address Error Redirector, Java 8 Update 40, Java™ 6 Update 6. Browser Address Error Redirector to firmowy śmieć preintegrowany w systemie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: sptd GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-509397886-1678132260-2415722295-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-509397886-1678132260-2415722295-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-509397886-1678132260-2415722295-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=183 HKLM\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-21-509397886-1678132260-2415722295-1000\...\Run: [Napisy24Update] => "C:\Program Files\Napisy24\Napisy24Update.exe" "sleep" HKU\S-1-5-21-509397886-1678132260-2415722295-1000\...\Policies\Explorer: [RestrictRun] 0 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-04-03] Task: {1B08B02C-5FFA-4F71-9E50-8FE08E33C238} - \Ad-Aware Update (Weekly) -> Brak pliku Task: {3B40D341-5DC5-4253-A9C2-01DD25B3B336} - \CCleanerSkipUAC -> Brak pliku Task: {63A27E99-879B-42FA-8F2D-4EAB5E01F932} - \GoogleUpdateTaskMachineCore -> Brak pliku Task: {7A23C657-00E0-405B-B29F-7201629663AE} - \GoogleUpdateTaskMachineUA -> Brak pliku Task: {B2D7FDEC-FBF1-4964-9E2F-F9F626AE01A1} - \Adobe Flash Player Updater -> Brak pliku U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) S3 catchme; \??\C:\Users\MICHA~1\AppData\Local\Temp\catchme.sys [X] S3 eapihdrv; \??\C:\Users\MICHA~1\AppData\Local\Temp\ehdrv.sys [X] S2 HWDeviceService.exe; C:\ProgramData\DatacardService\HWDeviceService.exe -/service [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files\GUTC3CC.tmp C:\Program Files\ESET C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnyReader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bad CD Repair C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera.lnk C:\Users\Michał\AppData\Roaming\Opera Software C:\Users\Michał\Desktop\CatzillaDownloader.exe C:\Users\Michał\Desktop\Continue Digital Image Recovery installation.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\IviRegMgr" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsora AllPlayer Gazeta.pl Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres gazeta.allplayer.org 4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt i raporty z folderu C:\AdwCleaner. Wypowiedz się czy problemy nadal występują.

Tutaj miały zostać tylko zaktualizowane sterowniki do karty hybrydowej i nic poza tym. 1. Po pierwsze, co z tym działaniem (wykonane?): 2. Po drugie, przedstaw jakie zmiany w raportach już zaszły: - Na początek wyczyść wszystkie Dzienniki zdarzeń, by odrzucić błędy już nieaktualne: klawisz z flagą Windows + X > Podgląd zdarzeń > Dzienniki systemu Windows > z prawokliku na gałęzie Aplikacja i System uruchom czyszczenie tych dzienników. Następnie zresetuj system, by aktualne błędy zostały nagrane. - Zrób nowy log FRST na następujących warunkach: odznacz Filtrowanie dla Usług i Sterowników, zaznacz też pole Addition.

Proces systemowy vssadmin.exe był uruchamiany, gdyż malware szyfrujące dane wywoływało komendę usuwania wszystkich punktów Przywracania systemu, obecnie Przywracanie systemu jest kompletnie zdeaktywowane. Wg raportów malware nie jest już czynne, choć pozostały puste odpadki które próbują się uruchamiać, dlatego też widzisz błędy z regsvr32. Przerwij działanie programu IDTool, jeśli zbyt długo będzie "zawieszony". Wstępnie na podstawie samego modelu nazwy plików HOWTO_RESTORE_FILES_* to wygląda na wariant infekcji TeslaCrypt. Jaki suffiks otrzymały zaszyfrowane dane osobiste (dokumenty i inne pliki): .exx, .xyz, .zzz, .aaa, .abc, .ccc? Sprawdź wszystkie dyski, szyfratory danych jadą po wszystkich dostępnych. Pierwsza faza usuwania: 1. Wejdź do konfiguracji Przywracania systemu i zaznacz Ochronę dla dysku C:. Obrazek z konfiguracji w tym temacie: KLIK. 2. Przez Panel sterowania odinstaluj stare wersje naruszające bezpieczeństwo: Adobe Flash Player 17 ActiveX, Java 7 Update 51. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\39C0.lnk [2015-03-10] Startup: C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8F60.lnk [2015-03-10] HKU\S-1-5-21-1320927441-3038179963-326650102-1000\...\Run: [Epsbtion] => regsvr32.exe C:\Users\Michal\AppData\Local\Epsbtion\kdmnimbc.dll HKU\S-1-5-21-1320927441-3038179963-326650102-1000\...\Run: [usnpmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Michal\AppData\Local\Odkics\mtkhomvj.dll HKLM-x32\...\Run: [etcfg] => C CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia IE Session Restore: HKU\S-1-5-21-1320927441-3038179963-326650102-1000 -> - funkcja włączona. Task: {1BC8AB68-DBC3-439F-8D6D-33CF31AD62AE} - System32\Tasks\{7097DD7F-5C59-4CA5-95DC-B637060D4123} => pcalua.exe -a "D:\Gry\The Vanishing of Ethan Carter\Binaries\Launcher.exe" -d "D:\Gry\The Vanishing of Ethan Carter\Binaries" Task: {20BC3D1D-6951-4976-BAE4-491DBD9CE2B3} - System32\Tasks\{02ED49F6-A749-46FB-94DE-5AD643E0B1EB} => pcalua.exe -a "D:\Forum france\ALCATEL_ADB_RNDIS_Driver for MTK SP 2013_03_29\ALCATEL_ADB_RNDIS_Driver2013_03_29\install.exe" -d "D:\Forum france\ALCATEL_ADB_RNDIS_Driver for MTK SP 2013_03_29\ALCATEL_ADB_RNDIS_Driver2013_03_29" Task: {403BD8AC-A754-4834-891C-CDD2625134FF} - System32\Tasks\{D4D33C9B-E016-4FC8-9ACD-70AF01FE5C3E} => pcalua.exe -a "D:\Gry\Sacred 3\_CommonRedist\vcredist\2008\vcredist_x64.exe" -d "D:\Gry\Sacred 3\_CommonRedist\vcredist\2008" Task: {9FEB6817-DD0C-47F0-B7D2-0EF0349EF502} - System32\Tasks\{87405FE9-3886-45BC-9BF9-234EE4B8EED0} => pcalua.exe -a "C:\Program Files\GRAPHISOFT\ArchiCAD 18\Uninstall.AC\uninstaller.exe" Task: {F71E5BB7-A8C0-4C7A-A93E-5C3295A36B01} - \Origin -> Brak pliku C:\Program Files (x86)\DAEMON Tools Lite C:\ProgramData\{6a960249-18be-785d-6a96-6024918b0924} C:\ProgramData\{8834ed44-aca7-ee74-8834-4ed44acab512} C:\ProgramData\7824b102000003cf C:\ProgramData\DAEMON Tools Lite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Contrast PL C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Techland C:\ProgramData\Orbit C:\Users\Michal\AppData\Local\Epsbtion C:\Users\Michal\AppData\Local\Odkics C:\Users\Michal\AppData\LocalLow\{7BBDBDC4-2F16-40DC-B488-B909DFF47F1D} C:\Users\Michal\AppData\LocalLow\{A760A828-6D5A-40B5-8B98-C65733BDABF2} C:\Users\Michal\AppData\LocalLow\{D5A090E3-0AED-447E-852A-1AE89D63AA2A} C:\Users\Michal\AppData\Roaming\g78rfdsafhi C:\Users\Michal\AppData\Roaming\DAEMON Tools Lite Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset CMD: attrib -h -s C:\HOWTO_RESTORE_FILES_* /s CMD: attrib -h -s D:\HOWTO_RESTORE_FILES_* /s CMD: attrib -h -s F:\HOWTO_RESTORE_FILES_* /s CMD: del /q /s C:\HOWTO_RESTORE_FILES_* CMD: del /q /s D:\HOWTO_RESTORE_FILES_* CMD: del /q /s F:\HOWTO_RESTORE_FILES_* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik fixlog, ze względu na zadaną komendę rekursywnego usuwania plików HOWTO_RESTORE_FILES_* z wszystkich dysków, może być przeogromny. W przypadku jeśli nie zmieści się w załącznikach, spakuj go do zip i shostuj gdzieś podając link.

Tutaj kontynuujmy. Dostarcz raporty FRST + GMER oraz wyniki skanu MBAM. Jeśli chodzi o bieżący system, wszystko co zaplanowane zostało wykonane. 1. Drobne poprawki do wdrożenia, tzn. usunięcie odpadkowych folderów i czyszczenie lokalizacji tymczasowych. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = DPF: {CAFEEFAC-0017-0000-0071-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_71-windows-i586.cab RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\czerny\c\AdwCleaner RemoveDirectory: C:\czerny\c\Documents and Settings\Mariano\Dane aplikacji\Sun RemoveDirectory: C:\czerny\c\Documents and Settings\Mariano\Ustawienia lokalne\Dane aplikacji\Sun RemoveDirectory: C:\czerny\c\Documents and Settings\Mariano\Moje dokumenty\OpenOffice.org 3.0 (pl) Installation Files RemoveDirectory: C:\czerny\c\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\czerny\c\Qoobox RemoveDirectory: C:\czerny\c\System Volume Information RemoveDirectory: C:\czerny\D\RECYCLER RemoveDirectory: C:\Documents and Settings\admin\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\RogueKiller RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Nowe Gadu-Gadu RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\OpenFM RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\OpenOffice.org2 RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\ppp\Gadu-Gadu RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Gadu-Gadu RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files\OpenOffice.org 2.0.3 RemoveDirectory: C:\RECYCLER CMD: del /q "C:\Documents and Settings\ppp\Menu Start\Programy\Autostart\OpenOffice.org 2.0.3.lnk" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt. Pytanie, czy można w całości usunąć poniższą kopię zapasową ze śmieciami? C:\czerny\c\Documents and Settings 2. Dodatkowo, zaloguj się na konto admin poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i zrób logi FRST (główny + Addition). 3. Pozostaje sprawa zaszyfrowanych plików. Niestety, jak zaznaczałam, sprawa wygląda na przegraną. Szyfrowanie zachodziło także w folderach poprawnych aplikacji i Windows. Obecnie mogą być notowane w określonych programach ubytki obrazków czy linków dokumetacji. Przy zanotowaniu takiego uszczerbku przeinstaluj daną aplikację.

Po pierwsze, w systemie są ustawione niestandardowe adresy DNS OpenDNS - czy to celowa modyfikacja? DNS Servers: 208.67.222.222 - 208.67.220.220 Po drugie, trzy dni temu odbyła się instalacja gry Black Desert, która wprowadziła niepożądane obiekty typu adware/PUP, tzn. aktywną usługę THORN i sterownik Thetta: KLIK / KLIK / KLIK. R2 Thorn; C:\Users\LukeMike\AppData\Local\THORN\Thorn.exe [56824 2015-10-01] (GGS) R3 Thetta; C:\Windows\System32\DRIVERS\Thetta64.sys [312536 2015-08-31] (Windows ® Win 7 DDK provider) Wstępne akcje do przeprowadzenia: 1. Odinstaluj wszystkie programy grupy "Global Gamers Solutions Ltd.": Black Desert, QGNA. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi.

O raporcie DelFix jest napisane w opisie DelFix, dlatego się nie powtarzam. DelFix wykonał co należy. Usuń z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Temat przenoszę do działu Windows. Nic tu nie wskazuje na problem infekcji. Ten opis wskazuje na element startowy, szczególnie w obszarze sterowników. I niestety to oznacza, że najbardziej podejrzane jest oprogramowanie zabezpieczające, zwłaszcza ESET (multum sterownik ładuje). Jako krok wstępny odinstaluj wszystkie programy tego typu: ESET NOD32 Antivirus, Malwarebytes Anti-Malware wersja 2.1.8.1057, Spybot - Search & Destroy. Jeśli system zacznie się uruchamiać poprownie, przywróć tylko NOD. A tego Spybota w ogóle nie instaluj, program "przechodzony" i mniej dziś skuteczny niż jego nowoczesny odpowiednik MBAM. vs. S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [113880 2015-10-12] (Malwarebytes Corporation) Komponent MBAM. GMER będzie notował na pasku postępu skanowane różne ścieżki niezależnie od ich "szkodliwości", a w oknie wykrywania modyfikacji będą figurować także czynności poprawnych programów - inwazyjne aplikacje wykonujące określone modyfikacje, do tej kategorii należy m.in. oprogramowanie zabezpieczające.

Objaśnij dokładniej wątek zaszyfrowanych plików, gdzie to widać (jakie ścieżki, na którym dysku) i czy na pewno zaszyfrowane kopie mają taki sam suffiks _decode@india.com jak w linkowanym temacie, a może zupełnie inny. W dostarczonych raportach z pierwszego posta nie widać żadnych oznak infekcji szyfrującej dane. A rozszerzenia określonych plików, które miałyby podlegać szyfrowaniu, nie są naruszone. Ale raport FRST jest mocno ograniczony. Dodatkowo, raporty pochodzą sprzed kilku miesięcy. Proszę zrób nowe logi dla porównania jaka jest aktualna sytuacja. Oraz dodaj jeszcze log z narzędzia IDTool. Niestety nie. Nie ma żadnego dekodera do tych wariantów infekcji. Aczkolwiek nadal nie wiadomo jaki rodzaj infekcji tu wystąpił.

Proszę dostosuj się do zasad działu i dostarcz obowiązkowe raporty z FRST i GMER. Dodatkowo, dostarcz log z narzędzia IDTool.

Obowiązkowym raportem jest też GMER. W systemie są aktywne procesy adware oraz różne ustawienia przejęte przez niepożądane adresy. Do przeprowadzenia następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Danlax; C:\Documents and Settings\All Users\Dane aplikacji\\Danlax\\Danlax.exe [441856 2015-09-17] () [brak podpisu cyfrowego] AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Danlax\Holdzap.dll => C:\Documents and Settings\All Users\Dane aplikacji\Danlax\Holdzap.dll [384512 2015-09-21] () HKLM\...\Run: [GEST] => = HKLM\...\Run: [Web Protector Plus Agent] => "C:\Program Files\WebProtectorPlus\WebProtectorPlus.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGSNUjrwY1y6yS7vkz8roO8peJ4F9SYM4HOhApitXQUOItRk9MpwBiCqZBDkjNCK8Cx2rdsM3dSaoYg,, HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGSNUjrwY1y6yS7vkz8roO8peJ4F9SYM4HOhApitXQUOItRk9MpwBiCqZBDkjNCK8Cx2rdsM3dSaoYg,, HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGSNUjrwY1y6yS7vkz8roO8peJ4F9SYM4HOhApitXQUOItRk9MpwBiCqZBDkjNCK8Cx2rdsM3dSaoYg,, HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms} URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = CHR HKLM\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-343818398-602162358-1801674531-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Dane aplikacji\Danlax C:\Documents and Settings\All Users\Dane aplikacji\Danlaxs C:\Documents and Settings\CoolPizza\SetupComponents.exe C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\updater.log C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\UserProducts.xml C:\Program Files\Common Files\Subgodom C:\WINDOWS\system32\findit.xml C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0B451150-3691-41C6-9AD0-B7CC164A02C2} /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystkie niedomyślne przeglądarki zostawiając tylko Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\CoolPizza\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz na wszelki wypadek też brakujący GMER. Dołącz też plik fixlog.txt.

Śmieci zostały usunięte, system zaktualizowany. Widzę, że zainstalowałeś Avira. Drobne ostrzeżenie, wsparcie Avira dla XP jest wycofywane. Najnowsze wersje nie obsługują XP (zainstalowałeś akurat starszą która ma je jeszcze obsługę), a definicje będą dostarczane tylko do kwietnia 2016. Na zakończenie: 1. Był uruchamiany GMER, upewnij się że nie obniżył się transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Zastosuj DelFix (GMER i jego log trzeba dokasować ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK.

W systemie jest aktywna duża ilość adware. Dodatkowa uwaga, wyłączyłeś usługę BFE, która jest niezbędna do obsługi Zapory systemu Windows, używa jej też Avast - usługę będę włączać. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {6939a927-ce62-4a88-a27a-fd77343fd696}Gw64; C:\Windows\System32\drivers\{6939a927-ce62-4a88-a27a-fd77343fd696}Gw64.sys [48784 2015-10-08] (StdLib) R1 {b666938f-73a7-45e6-be3c-578b46fc5b7e}Gw64; C:\Windows\System32\drivers\{b666938f-73a7-45e6-be3c-578b46fc5b7e}Gw64.sys [48784 2015-10-09] (StdLib) R2 Crashhd; C:\Users\Grzesiek\AppData\Local\Crsoft\crsvc.exe [185800 2015-09-25] () R2 gyvixodu; C:\Program Files (x86)\A8187454-1442618321-21E7-006D-B4B52F29A7E8\hnspDEA2.tmp [203776 2015-09-19] () [brak podpisu cyfrowego] R2 IhPul; C:\Users\Grzesiek\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) R2 NetTcpHandler; C:\Users\Grzesiek\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [169632 2015-10-10] (TODO: ) S2 Update Web Amplified; C:\Program Files (x86)\Web Amplified\updateWebAmplified.exe [461048 2015-10-11] () S2 Util Web Amplified; C:\Program Files (x86)\Web Amplified\bin\utilWebAmplified.exe [461048 2015-10-11] () R2 WdsManPro; C:\ProgramData\1WdsManPro1\WdsManPro.exe [442504 2015-10-10] (DTools LIMITED) R1 wwfd_vt_1_10_0_24; C:\Windows\System32\drivers\wwfd_vt_1_10_0_24.sys [61312 2015-09-02] (WordWizard) R2 wwsvc_1.10.0.24; C:\Program Files (x86)\WordWizard_1.10.0.24\Service\wwsvc.exe [301656 2015-09-02] (WordWizard) S3 clwvd; system32\DRIVERS\clwvd.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] R2 zicumiji; C:\Program Files (x86)\A8187454-1442618321-21E7-006D-B4B52F29A7E8\knsz7EDE.tmpfs [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\KNet => ""="service" HKLM-x32\...\Run: [tuto4pc_pl_5] => [X] HKLM-x32\...\Run: [gmsd_pl_005010091] => [X] HKLM-x32\...\Run: [gmsd_pl_005010099] => [X] HKLM-x32\...\Run: [gmsd_pl_005010106] => C:\Program Files (x86)\gmsd_pl_005010106\gmsd_pl_005010106.exe [3978384 2015-10-04] () HKLM-x32\...\Run: [gmsd_pl_005010107] => C:\Program Files (x86)\gmsd_pl_005010107\gmsd_pl_005010107.exe [3976336 2015-10-05] () HKLM-x32\...\Run: [gmsd_pl_005010109] => C:\Program Files (x86)\gmsd_pl_005010109\gmsd_pl_005010109.exe [3977872 2015-10-08] () HKLM-x32\...\RunOnce: [upgmsd_pl_005010107.exe] => C:\Users\Grzesiek\AppData\Local\gmsd_pl_005010107\upgmsd_pl_005010107.exe [3302544 2015-10-05] () HKU\S-1-5-21-1994262508-4124847217-438547347-1001\...\Run: [GoogleChromeAutoLaunch_ACF11CF5586B43242B6CC8B92C5B5F1D] => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe [636928 2015-08-29] (MyBrowser) HKU\S-1-5-18\...\Run: [KurupiraNet] => "C:\Program Files (x86)\Kurupira\WebFilter\kurupirawf.exe" Task: {4B01A0FF-FC2B-4F83-AB75-49C93DA425B6} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Pending Update => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) Task: {5333BE7A-6640-4D54-8D6B-870FABABEB5B} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {5B7F5C8D-932F-47E7-8619-A4EFAFC23C75} - System32\Tasks\FF305F69-D19D-4D18-A3A7-BF797FC7CDB => C:\Users\Grzesiek\AppData\Local\FF305F69-D19D-4D18-A3A7-BF797FC7CDB\FF305F69-D19D-4D18-A3A7-BF797FC7CDB.exe [2015-10-07] () Task: {69815643-FF6E-47DF-A58B-B04AEBAE9E49} - System32\Tasks\{C5E7D8C2-FC56-48B7-A7BD-451615BD0D9F} => Chrome.exe http://ui.skype.com/ui/0/6.11.0.102/pl/abandoninstall?page=tsProgressBar Task: {7576D194-9504-4C72-A07D-7D17FAFAFA9D} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2015-10-07] () Task: {8A2225D8-C183-4451-8099-F78228A7A6E6} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2015-10-07] () Task: {90BCA0F5-B723-4BD0-9DD7-2EBB6BCB2278} - System32\Tasks\{5A670A30-0215-4AB8-AD52-C6E42D36182E} => pcalua.exe -a C:\Users\Grzesiek\Desktop\FreeRapid-0.9u1\frd.exe -d C:\Users\Grzesiek\Desktop\FreeRapid-0.9u1 Task: {935A2DDE-F0E3-48D5-A931-8F4ABCC7FDEB} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Core => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) Task: {97700335-1BD3-41CA-A12A-E13712DD269F} - System32\Tasks\{B3F69E9C-7B55-4F67-AC96-7CCD987E245D} => Chrome.exe http://ui.skype.com/ui/0/6.14.60.104/pl/abandoninstall?page=tsProgressBar Task: {A1B9CDF1-BB87-475F-B413-4D45081F4558} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {BAB791B8-777C-4A01-8DEA-6CB929FA6CE6} - System32\Tasks\{FFF060CB-8F09-4AA0-9D99-39A023A26C6D} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.21.0.104&LastError=12002 Task: {BD0CA5A1-2281-4D40-A714-67C4EEE384B2} - System32\Tasks\E68C052A-B27D-42D2-8242-C43157D2EC5D => C:\Users\Grzesiek\AppData\Local\E68C052A-B27D-42D2-8242-C43157D2EC5D\E68C052A-B27D-42D2-8242-C43157D2EC5D.exe Task: {DA6EAD2C-BC61-47D6-AE3A-FA1D21B25767} - System32\Tasks\Funmoods => C:\Users\Grzesiek\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE Task: {FCBCC7DD-40D6-4001-8B41-29AEA8D7E112} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2015-10-07] () Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [brak pliku] FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1215155.dll [brak pliku] FF Plugin HKU\S-1-5-21-1994262508-4124847217-438547347-1001: SkypePlugin -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\npGatewayNpapi.dll Brak pliku FF Plugin HKU\S-1-5-21-1994262508-4124847217-438547347-1001: SkypePlugin64 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\npGatewayNpapi-x64.dll Brak pliku FF Plugin HKU\S-1-5-21-1994262508-4124847217-438547347-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll Brak pliku FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\eh54ahxz.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\eh54ahxz.default\extensions\deskCutv2@gmail.com FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\all-gemius.js [2013-08-19] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [2014-08-04] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Marvel Super Hero Squad Online.lnk -> C:\Program Files (x86)\HP Games\Web Link - Marvel Super Hero Squad Online\launcher.exe (WildTangent) -> hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX ShortcutWithArgument: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX ShortcutWithArgument: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302 HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302 HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {d43b3890-80c7-4010-a95d-1e77b5924dc3} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms} BHO-x32: Web Amplified 1.0.0.7 -> {4f93c386-c677-4212-9bc8-47814de68c52} -> C:\Program Files (x86)\Web Amplified\WebAmplifiedbho.dll [2015-07-11] (Web Amplified) Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll Brak pliku Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll Brak pliku CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{0825CC0E-34BD-4FE4-B78D-EF6582A94B6A}\InprocServer32 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\GatewayActiveX-x64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{8E00BFA9-1C7B-4E45-BF2F-0FAEA236E1CC}\localserver32 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\GatewayVersion-x64.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{CBF9CD8C-2714-4F36-B76A-43E6C7547BC2}\localserver32 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\EdgeCalling.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Grzesiek\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Classes\.exe: => C:\task.vbs C:\Program Files (x86)\GUT1DEC.tmp C:\Program Files (x86)\A8187454-1442618321-21E7-006D-B4B52F29A7E8 C:\Program Files (x86)\predm C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\GameExplorer\{1E9B598D-22A7-4AE2-86AB-146A09171AAE}\PlayTasks\1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadwin Systems C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mp3cutter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyBrowser C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2011 Patch\PESEdit.com 2011 Patch.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2011 Patch\Settings.lnk C:\Users\Grzesiek\AppData\Local\Crsoft C:\Users\Grzesiek\AppData\Local\FF305F69-D19D-4D18-A3A7-BF797FC7CDB C:\Users\Grzesiek\AppData\Roaming\Thumbs.db C:\Users\Grzesiek\AppData\Roaming\istartsurf C:\Users\Grzesiek\AppData\Roaming\mystartsearch C:\Users\Grzesiek\AppData\Roaming\NetService C:\Users\Grzesiek\AppData\Roaming\RunDir C:\Users\Grzesiek\AppData\Roaming\shortCutStore C:\Users\Grzesiek\AppData\Roaming\SoftOrbits C:\Users\Grzesiek\AppData\Roaming\systweak C:\Users\Grzesiek\AppData\Roaming\TSv C:\Users\Grzesiek\AppData\Roaming\VOPackage C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MyBrowser.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\MyBrowser.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Alcohol 120%.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\bobyte C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google+ Auto Backup C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\jogotempo C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Grzesiek\AppData\Roaming\Microsoft\Word\Grafik%20Phillip%20Morris302487943129193636\Grafik%20Phillip%20Morris.docx.lnk C:\Users\Grzesiek\Desktop\AnyProtect.lnk C:\Users\Grzesiek\Desktop\Continue Live Installation.lnk C:\Users\Grzesiek\Desktop\jogotempo.lnk C:\Users\Grzesiek\Favorites\GG dysk.lnk C:\Users\Public\Desktop\MyBrowser.lnk C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{6939a927-ce62-4a88-a27a-fd77343fd696}Gw64.sys C:\Windows\System32\drivers\{b666938f-73a7-45e6-be3c-578b46fc5b7e}Gw64.sys C:\Windows\System32\drivers\wwfd_vt_1_10_0_24.sys C:\Windows\system32\Drivers\etc\hp.bak Folder: C:\program1 Folder: C:\results Folder: C:\Windows\SysWOW64\GroupPolicy Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleDriveSync" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HKCU" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPDLR" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KurupiraNet" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetPanel" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Onet.pl AutoUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spybot-S&D Cleaning" /f CMD: for /d %f in (C:\ProgramData\*WdsManPro*) do rd /s /q "%f" CMD: netsh advfirewall reset CMD: sc config BFE start= auto DisableService: PLAY ONLINE. RunOuc Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware/PUP: AnyProtect, GamesDesktop 008.005010106, GamesDesktop 008.005010107, GamesDesktop 008.005010109, jogotempo 3.4, MyBrowser, Setup, Web Amplified, WordWizard 1.10.0.2. Na Twoim obrazku jest jeszcze pozycja Plus.HD_3.5V04.10, tylko że w raporcie FRST jej nie widać. Czy ten program został już odinstalowany? - Starsze wersje i zbędne programy: Adobe Reader XI - Polish, Adobe Shockwave Player + Authorware Web Player, Adobe Shockwave Player 12.0, Spybot - Search & Destroy. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > Osoby > Dodaj osobę, czyli załóż nowy profil i się na niego zaloguj, uprzednio otwarte okna przeglądarki z zalogowanymi innymi profilami zamknij. Pozostałe "Osoby" skasuj. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Opera: CTRL+SHITF+E i na liście rozszerzeń odinstaluj za pomocą "iksa" Web Amplified, o ile nie zniknie samodzielnie po w/w deinstalacji. Obecnie domyślną przeglądarką jest szkodliwy MyBrowser. W wybranej przeglądarce ustaw ją jako domyślna. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pola Addition + Shortcut. Dołącz też plik fixlog.txt. Powiedz mi też co to za plik na Pulpicie: C:\Users\Grzesiek\Desktop\fb b.exe

Aneks Artykuły Microsoftu: KB928228 - How to analyze the log file entries that the Microsoft Windows Resource Checker (SFC.exe) program generates in Windows Vista KB929833 - Use the System File Checker tool to repair missing or corrupted system files KB929840 - You cannot use the System File Checker tool to verify or to repair Windows Vista if Windows Vista is in a mounted image file or in a bootable WIM file KB936212 - How to repair the operating system and how to restore the operating system configuration to an earlier point in time in Windows Vista KB947595 - The SFC.exe command reports Settings.ini file errors in the CBS.log file after you add gadgets to the Windows Vista Sidebar by using the Sysprep tool and an Autounattend.xml file KB947821 - Fix Windows Update errors by using the DISM or System Update Readiness tool KB954402 - The CBS.log file contains entries that some files are not repaired even after you successfully run the SFC utility on a Windows Server 2008-based computer KB957310 - Windows Update error 0x80073712 (wcześniej pod nazwą "The "Windows Features" dialog box is empty in Windows 7 or Windows Vista, or you receive an error message that includes the following code when you try to use Windows Update: "0x80073712"") KB966305 - SFC.exe (System File Checker) shows it is repairing corrupted files per the CBS log after installing Windows Vista SP1 KB2680245 - Error: 0x80320009 appears when you try to launch Windows Firewall KB2864252 - System File Checker finds corrupt files after installing KB2821895 KB3083824 - Update 2830477 install from Windows Update fails with error 0x8004401E How to repair the .NET Framework 2.0 and 3.0 on Windows Vista

Został uruchomiony specjalny czyściciel sterowników AMD, czego bezpośrednią konsekwencją po restarcie było przełączenie na podstawowy sterownik Windows o ograniczonych możliwościach (to degradacja rozdzielczości a nie Tryb awaryjny). Przypominam Twój stary temat omawiający problem karty hybrydowej AMD-Intel, gdy miałeś jeszcze Windows 7. Już wtedy był problem z funkcjonowaniem sterowników i była sugerowana ich aktualizacja. Wątku nie pociągnąłeś wtedy. Nowy upgrade do Windows 10, żadnych zmian w układzie zainstalowanego softu, te same stare wersje widziane tu w pierwszym logu FRST Addition: AMD Catalyst Control Center (HKLM\...\WUCCCApp) (Version: 1.00.0000 - AMD) AMD Catalyst Install Manager (HKLM\...\{9B931181-D3E6-B7C8-6AC1-0415CAE8821F}) (Version: 8.0.881.0 - Advanced Micro Devices, Inc.) Intel® Display Audio Driver (HKLM\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 6.14.00.3086 - Intel Corporation) Ten układ został podwójnie naruszony: - W poście #14 zgłosiłeś nagłe błędy paczki Catalyst związane z uszkodzeniami plików. W poście #16 na dodatek jeszcze powiedziałeś, że nie widać tej paczki już jako zainstalowanej, co rozumiem jako niewyjaśniony zanik w/w pozycji AMD z Addition. - W poście #20 został użyty deinstalator AMD, który zabrał się za powiązane sterowniki i nastąpiła spodziewana degradacja. Co dokładnie zostało usunięte, nie jest wiadome. Czy jest na dysku log utworzony przez narzędzie? Wymagane jest ponowne zainstalowanie pasujących sterowników. Jak powiedziane, wejdź na stronę Lenovo i szukaj dla swojego modelu Lenovo jakie sterowniki ogólnie są proponowane i czy są zgodne z Windows 10. Pobieranie prawdopodobnie będzie opisane jako kombinowane "AMD Radeon HD and Intel Graphic Driver".

Czy uporałeś się ze sprawą Aviry? Ostatnie zadane czynności wykonane pomyślnie. Wcześniej już był używany AdwCleaner, więc nie zadaję ponownie tej operacji. Myślę, że możemy kończyć: 1. Był używany GMER, toteż upewnij się, że nie obniżył się transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Zastosuj DelFix (GMER trzeba dokasować ręcznie) i wyczyść Przywracanie systemu: KLIK. 3. Zaktualizuj systemowy Internet Explorer z bieżącej wersji IE7 do wersji IE8. Link do instalatora również podany w/w temacie.

Czy na pewno ten Fixlist posiada treść odpowiadającą mojemu postowi? Jeśli tak, ponownie uruchom Fix w FRST i przedstaw wyniki.

Ten PriceFountain to jest adware, nabyte na jeden z tych sposobów: KLIK. Widzę jego szczątki w Harmonogramie zadań i na dysku. 1. Doczyść owe szczątki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Tomek\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\PFExe.job => C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\PriceFountain\pricefountain.exe C:\Documents and Settings\Tomek\Dane aplikacji\PriceFountain C:\{b6a94784-0ffb-4121-88c6-435139067ee2}.xpi EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Następnie proszę zaktualizuj cały XP, bo stan obecny marny: KLIK (sekcja "Aktualizacje Windows"). Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) Język: Polski Internet Explorer Wersja 6 (Domyślna przeglądarka: FF) 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Reset synchronizacji jest po to, by umożliwić zmiany w lokalnym Chrome na dysku. Przy czynnej synchronizacji czyszczenie Chrome jest nieskuteczne, gdyż z serwera Google są ładowane ponownie poprzednie ustawienia. A owe ustawienia o które mi tu chodziło, to był sponsorowany obiekt instalowany przez Avast (zbędny Avast SafePrice) oraz nieobsługiwane + puste wpisy wtyczek pozostawione po nakładkowej aktualizacji wersji Chrome: CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\45.0.2454.101\ppGoogleNaClPluginChrome.dll => No File CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\45.0.2454.101\pdf.dll => No File CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll => No File CHR Plugin: (Java Deployment Toolkit 6.0.200.2) - C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll => No File CHR Plugin: (Java™ Platform SE 6 U20) - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll => No File CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll => No File CHR Plugin: (Windows Live Photo Gallery) - C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) CHR Plugin: (Silverlight Plug-In) - c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll => No File Jak mówię, kompletnie nie związane z tematem zasadniczym. Szczątki adware: KLIK. Pobierałeś i uruchamiałeś kiedyś "downloader" ze sponsorami. Więcej na temat tego typu obiektów: KLIK. Temat nie wyczerpuje wszystkich możliwości, nakreśla tylko ogólną metodologię. Nazwa pliku u Ciebie wskazuje, że źródłem był inny portal niż wymieniane.