picasso

Historia aktualizacji to nie jest dowód, historia może zawierać tylko część operacji, jeśli ją wcześniej czyszczono (np. narzędzia resetujące Windows Update ją usuwają). Sprawdzanie czy łata zainstalowana odbywa się w Panel sterowania > Programy > Programy i funkcje > Wyświetl zainstalowane aktualizacje. Druga sprawa, nie wiem czy od czasu tamtego tematu coś uległo zmianie. Mogły wystąpić kolejne niekorzystne zmiany w systemie aktualizacji Vista powodujące takie objawy, nierozwiązywalne metodą tam podawaną. I mnie interesuje, czy pozwoliłeś wyszukiwaniu Windows Update się w pełni ukończyć (to może długo trwać i procesor będzie obciążony wtedy) przed wyłączeniem wyszukiwania? Może w wyszukiwaniu pokażą się jakieś łaty istotne do zainstalowania.

A co ze skanem sfc /scannow? I tu jeszcze nie skończyliśmy. Będą do wykonania kroki końcowe.

Problemem niestety jest to skąd pobierasz... Ostrzegałam Cię w poprzednim temacie z infekcją yoursites. Wymieniane programy same w sobie niewinne, a AllPlayer ma w instalatorze mało inwazyjnego sponsora (ustawienie przekierowań na gazeta.pl). Ślady w logu sugerują, że załatwił Cię "Asystent pobierania" dobrychprogramów.pl, a możliwe że innego portalu też: KLIK. Conajmniej jeden plik "Asystenta" dobrychprogramów a nie zasadniczego instalatora na dysku: 2016-09-25 09:35 - 2016-09-25 09:36 - 01244848 _____ ( ) C:\Users\Agula\Downloads\ALLPlayer-13217-dp.exe Poza tym, FRST nie był pobierany tam skąd miał być pobierany, oto trzy pliki których w żadnym wypadku nie tworzy FRST samodzielnie: 2016-10-02 16:58 - 2016-10-02 16:58 - 00001398 _____ C:\Users\Agula\Desktop\Kontynuuj instalację Farbar Recovery Scan Tool (FRST) 3.3.14.2 (18.9.2016.0).lnk 2016-10-02 16:46 - 2016-10-02 16:46 - 01750528 _____ (Farbar) C:\Users\Agula\Downloads\Farbar Recovery Scan Tool (FRST) 3.3.14.2 (18.9.2016.0) [1].exe 2016-10-02 16:45 - 2016-10-02 16:45 - 01184736 _____ (Bogutebed ) C:\Users\Agula\Downloads\Farbar Recovery Scan Tool (FRST) 3.3.14.2 (18.9.2016.0).exe Pierwszy i trzeci to obiekty szkodliwego "downloadera" oferującego sponsorów, a środkowy to nie jest oryginalny plik FRST (FRST jest pobierany pod nazwami FRST.exe i FRST64.exe). Jedyne dozwolone linki tu: KLIK. W żadnym wypadku nie pobierać programu z innych linków niż podane w przyklejonym temacie. Zainstalowałeś lewe i szkodliwe skanery: Reimage, YAC(Yet Another Cleaner!) Działania do przeprowadzenia: 1. Deinstalacjer: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj szkodniki: Browser-Security, YAC(Yet Another Cleaner!). - Poza tym, wejdź do folderu C:\Program Files\Reimage i sprawdź czy jest jakiś plik deinstalacyjny, a jeśli tak to z prawokliku na plik "Uruchom jako administrator". Pliku może nie być, ale to adresuje już punkt 2. Po deinstalacjach zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [7953776 2016-09-28] (Reimage®) S2 UvConverter; C:\ProgramData\UvConverter\UvConverter.exe [419048 2016-09-20] () S2 CornerSunshineSvc; "C:\Program Files (x86)\Corner Sunshine\CornerSunshineSvc.exe" {8A712DBD-E08B-4D5C-839D-1B9C185FE769} [X] Task: {44213B98-72E1-4E4B-AE56-AA879B449A84} - System32\Tasks\{17211749-7146-4832-B0D0-936114110ADD} => pcalua.exe -a "F:\melog.com\Agencja3000 Light\Uninstall.exe" -d "F:\melog.com\Agencja3000 Light" Task: {734E81D4-C11C-4E89-8C41-E383CA330983} - System32\Tasks\WpsKtpcntrQingTask_Agula => C:\Program Files (x86)\Kingsoft\WPS Office\10.1.0.5657\office6\ktpcntr.exe Task: {9C36C0D1-3B51-417D-8299-4F0F0CE28758} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2016-09-29] (Reimage ltd.) Task: {AE9FE837-6CA7-4122-8BD4-20A9305A8E75} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2016-09-28] (Reimage®) HKU\S-1-5-21-1650190903-653209143-60761687-1001\...\Run: [safe_urls768] => C:\Users\Agula\AppData\Roaming\Browser-Security\s768.exe [2548944 2016-06-20] () HKU\S-1-5-21-1650190903-653209143-60761687-1001\...\RunOnce: [ALLPlayer Remote Update] => C:\Users\Agula\AppData\Local\Temp\ALLRemote.exe [2200144 2016-10-01] (ALLPlayer ) SearchScopes: HKU\S-1-5-21-1650190903-653209143-60761687-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1650190903-653209143-60761687-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird C:\Program Files\Reimage C:\Program Files (x86)\Corner Sunshine C:\Program Files (x86)\WinSaber C:\ProgramData\corss C:\ProgramData\Reimage Protector C:\ProgramData\UvConverter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair C:\rei C:\Users\Agula\AppData\Roaming\Browser-Security C:\Users\Agula\AppData\Roaming\Corner Sunshine C:\Users\Agula\Desktop\Kontynuuj instalację Farbar Recovery Scan Tool (FRST) 3.3.14.2 (18.9.2016.0).lnk C:\Users\Agula\Desktop\zdjęcia firmowe\oferty_foto — skrót.lnk C:\Users\Agula\Downloads\*-dp*.exe C:\Users\Agula\Downloads\Farbar Recovery Scan Tool (FRST) 3.3.14.2 (18.9.2016.0) [1].exe C:\Users\Agula\Downloads\Farbar Recovery Scan Tool (FRST) 3.3.14.2 (18.9.2016.0).exe C:\Users\Public\Documents\temp.dat C:\WINDOWS\Reimage.ini EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Które łaty próbowałeś instalować? Pokaż mi dokładne linki. I czy ich nie masz aby już zainstalowanych (do sprawdzenia w Panelu sterowania)?

Gdyby była infekcja w raportach lub jakaś poważna awaria wykluczająca dalsze działania, zostałbyś o tym poinformowany natychmiast. Główny problem nie jest pochodną tych zjawisk i nim się zajmij w pierwszej kolejności, tzn. instalacją łat. Gdy się z tym uporasz, można będzie przejść do korekty mniej istotnych fragmentów raportu. Czy Tobie przypadkiem nie chodzi o te znaczniki "UWAGA" w logu? R0 sptd; C:\Windows\System32\Drivers\sptd.sys [717296 2009-01-22] () [Brak podpisu cyfrowego] U3 a0jujgy2; C:\Windows\system32\Drivers\a0jujgy2.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder) Task: {C0BE6EB2-C4D1-4527-B8B5-6271BAFBDDD4} - System32\Tasks\Google Software Updater => C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2011-09-16] (Google) <==== UWAGA Task: C:\Windows\Tasks\Google Software Updater.job => C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe <==== UWAGA Pierwszy zestaw to para, sterownik od wirtualnych napędów DAEMON Tools Lite (program masz zainstalowany) i wszystko na ten temat jest w przyklejonym: KLIK. A oznaczenie tych starych wpisów aktualizatora Google (produkty Google zainstalowane) to fałszywy alarm. To wszystko można usunąć, ale nie ma to związku ze zgłaszanym problemem i nie pomoże go rozwiązać.

Temat nadal jest tam gdzie był: KLIK. Nic nie zostało usunięte. Wyszukiwarka forum w Mojej zawartości, by ograniczyć obciążenie serwera, jest zawężona do wyników z ostatniego roku. Temat bardzo stary sprzed ponad 3 lat. Skoro problem samoistnie się rozwiązał, temat zostanie zamknięty. Jeśli chodzi o problem z obciążeniem svchost.exe przez Windows Update, to do wglądu właśnie ten sam temat. Vista 32-bit = Vista x86. I nic więcej nie da się w tej kwestii zrobić. Vista będzie wspierana (w sposób częściowy) przez Microsoft do kwietnia 2017. Ale rzeczywiście jest coraz gorzej, są likwidowane przez Microsoft narzędzia naprawcze, a także producenci zewnętrzni usuwają kompatybilność programów z Vista. W roku 2017 Firefox też przestanie być kompatybilny z Vista: KLIK. Obecnie to jedyna główna przeglądarka pozwalająca na instalację na Vista. Chrome, Opera i IE już nie obsługują tego systemu - ostatnie wersje zdolne do instalacji na tym systemie są stare.

W Twoim innym temacie logi pokazują instalację Adobe Reader X (10.1.16). To ostatnia edycja którą oficjalnie można instalować na Vista, niemniej da się zainstalować ręcznie najnowszą wersję z linii Adobe Reader XI. Wszystko na ten temat w przyklejonym: KLIK. Czyli: deinstalujesz Adobe Reader X (10.1.16), następnie dla pewności uruchamiasz czyściciel firmowy, i po kolei instalujesz Adobe Reader XI 11.0.00 + zgodną z nim aktualizację.

Fix pomyślnie wykonany. Teraz wróćmy do sprawy nieszczęsnego gpedt.msc 1.0. Deinstalacja nie usunęła wszystkich śladów z dysku. W logu nadal widać np. folder C:\Windows\system32\GPBAK który powinien trzymać oryginalne wersje sprzed podmiany tym fałszywym gpedit. Jest prawdopodobne, że oryginalne pliki Windows nie zostały przywrócone do postaci pierwotnej. Proszę teraz zrób skanowanie sfc /scannow i dostarcz wynikowy log z tego skanu wg instrukcji: KLIK. Bez przesady! W linku w sekcji darmowych programów masz w wyraźny sposób wyróżnioną sekcję antywirusy... Cytuję ten fragment i podkreślam, byś nie szukał niczego innego spoza tej listy, bo nadziejesz się na stare wersje, słabe produkcje czy programy wątpliwej reputacji. Odradzam też chińskie softy. I antywirus to nie wszystko.... Dlatego polecam jednak przejrzeć listę nie skupiając się tylko na antywirusach. Poświęc proszę czas na przeczytanie, by uniknąć tego co tu się działo w temacie - instalacji lewych i przestarzałych programów, które pozorują zabezpieczenia.

Tylko się upewniałam czy to ponowne ustawienie przywracania sesji, tzn. czy poprzednie dane sesji przywracające wadliwe karty zostały już usunięte. Skoro to nowa sesja z innymi danymi, to nie widzę problemu. SFC widzi to zamieszanie, które zrobił gpedt.msc 1.0, tzn. detekcja "uszkodzonych" plików przystawki gpedit. Daj mi czas na analizę wyciągu i przygotowanie instrukcji, bo tu trzeba skorygować odczyt przywracając poprzednie poprawne wersje.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Nie próbuj pobierać tego programu z innych serwisów. Strona domowa programu to właśnie ta która się otwiera, fakt, jest mocno obsmarowana reklamami. Tak swoją drogą, to oni nawet przestrzegają przed pobieraniem z Instalki.pl: KLIK. Do wglądu też mój temat: KLIK. Na obrazku który pokazałeś, należy przeskrolować trochę niżej i kliknąć w duży przycisk Telecharger (to jest francuskie "Pobierz"). Alternatywnie wkleić w pasku adresów przeglądarki ten link inicjujący pobieranie: https://www.usb-antivirus.com/downloadings/ Ale pobieranie się blokuje na "została jedna sekunda". Za to stąd działa: https://www.sosvirus.net/telechargement-securise/ Podmienię w przyklejonym link.

Temat przenoszę do działu Windows, nie ma oznak by przyczyną była infekcja. Natomiast problem może tworzyć właśnie operacja związana ze skanerami... Tu jest przeinwestowane oprogramowanie zabepieczające i dziwić się można, że system w ogóle się uruchamia. Katastrofa, aktywnie działają usługi i sterowniki: 360 Total Security, AVG, ESET Smart Security, Panda Antivirus, SecureAPlus. AVG i ESET nie zostały poprawnie odinstalowane, nie ma już ich wejść na liście programów, ale są aktywne tak jakby były w pełni zainstalowane. Rozpocznij od deinstalacji wszystkich programów zabezpieczających. Po przewietrzeniu gruntu potem sobie przywrócisz jeden wybrany: 1. Próba standardowych deinstalacji, po jednym na raz, a po każdej deinstalacji restart systemu: - Przez Panel sterowania: 360 Total Security, Malware Hunter 1.20.0.36, Panda Free Antivirus, Panda Cloud Cleaner. - Z poziomu Menu Start uruchom poniższy deinstalator: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SecureAge\Uninstall SecureAPlus.lnk -> C:\Program Files\SecureAge\Whitelist\uninst_SecureAPlus.exe (SecureAge Technology) Jeśli coś stawi opór, nie próbuj usuwać na siłę, poniższy punkt zaradzi przynajmniej na część wymienionych. 2. Następnie wejdź w Tryb awaryjny Windows i po kolei zastosuj następujące usuwacze: Avast Uninstall Utility, AVG Remover, ESET Uninstaller, Panda Generic Uninstaller. 3. Wejdź z powrotem w normalny tryb i zrób nowe logi z FRST. I będziemy doczyszczać różne odpadkowe wpisy. Opisz też czy po przeprowadzonych działaniach jest poprawa w funkcjonowaniu systemu. Cieszę się że znalazłeś moje nowe podwórko. Lat tyle upłynęło, że uwierzyć nie można w to. A jaka ja stara jestem. Zrobione. Zmieniłam tylko nazwę wyświetlaną, login nadal stary. Jeśli login też ma być zmieniony, daj znać.

AdwCleaner wykrył szczątki adware, więc uruchom go ponownie, wybierz po kolei opcje Skanuj + Oczyść i przedstaw log z usuwania (zawiera "C" w nazwie pliku).

1. Fix FRST wykonany. Natomiast nadal widzę w Operze aktywne przywracanie sesji. Czy nie wykonałeś zadania rekonfiguracji, czy może ustawiłeś to po prostu ponownie? OPR Session Restore: -> [funkcja włączona] 2. Druga sprawa, ten gpedt.msc 1.0 wprawdzie odinstalowany, ale na dysku są po nim ślady. Upewnij się czy pliki systemu zostały przywrócone do formy pierwotnej. Tzn. wykonaj sfc /scannow i dostarcz przefiltrowany log wynikowy: KLIK.

Wszystko zrobione, infekcje pomyślnie usunięte, teraz już tylko poprawki. 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\KMSpico RemoveDirectory: C:\Program Files (x86)\{516D9F5A-D8E3-485A-838A-AE688ED07E5C} RemoveDirectory: C:\Program Files (x86)\Bvafivagh RemoveDirectory: C:\Program Files (x86)\Crecult RemoveDirectory: C:\Program Files (x86)\Crecult_ RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files (x86)\ynl265E RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\tmp RemoveDirectory: C:\Users\Pati\AppData\Local\aJDnMEZEGRf4Xn RemoveDirectory: C:\Users\Pati\AppData\Local\CEF RemoveDirectory: C:\Users\Pati\AppData\Local\fwoshdrauspliition RemoveDirectory: C:\Users\Pati\AppData\Local\IRsoft RemoveDirectory: C:\Users\Pati\AppData\Local\tumilyfutakcurerk RemoveDirectory: C:\Users\Pati\AppData\Local\TyDJsmUFtOiZIvu RemoveDirectory: C:\Users\Pati\AppData\Local\Udmedia RemoveDirectory: C:\Users\Pati\AppData\Local\webkit RemoveDirectory: C:\Users\Pati\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\Pati\AppData\Local\Google\Chrome\User Data\qudachmupishplalily RemoveDirectory: C:\Users\Pati\AppData\LocalLow\Sun RemoveDirectory: C:\Users\Pati\AppData\Roaming\Mozilla ListPermissions: C:\Users\Pati\Cookies Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom Phrozen ADS Revealer i sprawdź czy program widzi ten strumień oraz czy pokazuje jaka jest jego zawartość w kolumnie Content: AlternateDataStreams: C:\Users\Pati\Cookies:eLzXAceo1JHpJ06dclVDZj7KM [2324]

Zapomnij o tym Kingsoft, przecież to program trup - edycja sprzed 4 lat, nierozwijana, słabe zabezpieczenie. Nowoczesne antywirusy do wyboru z tej listy: KLIK. Nie szukaj niczego innego spoza tej listy, tam jest wszystko. Tak, należy go w normalny sposób odinstalować, a po deinstalacji przejść do kroków które podałam powyżej.

Masz włączone przywracanie sesji i to wygląda na przyczynę dlaczego te karty się w kółko otwierają: OPR Session Restore: -> [funkcja włączona] Jest też inny problem z Operą będący konsekwencją pobytu adware. Otóż skróty Opery zostały zastąpione przez adware i kierują na już nieistniejący szkodliwy obiekt, a ten ostatni skrót wyglądający względnie dobrze też nie do końca poprawny (ma ukrytą Cyrylicę w nazwie, ostały się też argumenty skrótu adware): Shortcut: C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk -> C:\Users\Natalka\AppData\Roaming\HPReyos\ReyosStarter3.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk -> C:\Users\Natalka\AppData\Roaming\HPReyos\ReyosStarter3.exe (Brak pliku) Shortcut: C:\Users\Public\Desktop\Ореrа.lnk -> C:\Users\Natalka\AppData\Roaming\HPReyos\ReyosStarter3.exe (Brak pliku) ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа Intеrnеt Вrоwsеr.lnk -> C:\Program Files (x86)\Opera\40.0.2308.62\opera.exe (Opera Software) -> 4 2 Jeśli chodzi o komunikaty DNS, to nie wiadomo co było wcześniej w systemie, obecnie widzę tylko OpenDNS i adresy dostawcy Vectra. I kombinowałeś z niepożądanym crackiem KMSAuto Net. Moja opinia nie musi być wiążąca, ale zdecydowanie nie cofałabym się do Windows 7. Windows 7 to konstrukcja z roku 2009, czyli przestarzała i natywnie gorzej zabezpieczona niż najnowszy system (np. Windows Defender to nie to samo). Microsoft wspiera siódemkę w sposób już tylko podstawowy, żadnych wybitnych ulepszeń nie będzie, a aktualizacje ograniczone tylko do najważniejszych. Z Windows 7 też są obecnie problemy, np. potwornie długie wyszukiwanie aktualizacji i ogromne obciążenie systemu przez Windows Update, które rozwiązano dopiero po kilku miesiącach. Ponadto, nie ma gwarancji co będzie dalej. Wszystkie siły i bonusy są skoncentrowane na Windows 10. Problemy z systemami zawsze mogą wystąpić, niezależnie od edycji. Unikatowe konfiguracje sprzętowo-softwarowe, więc jest niemożliwym, by system był w pełni bezawaryjny. Nie dowiesz się jak się system zachowuje w Twoim środowisku, dopóki tego nie sprawdzisz na własnej skórze. Przykładowo już od dawna siedzę na Windows 10, wszystkie moje komputery w domu zostały zaktualizowane do tej wersji i na żadnym nie mam problemów. Do Windows 7 nie wrócę. Doczyszczanie systemu: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj HPReyos (adware), gpedt.msc 1.0 (wadliwa funkcjonalność) i Maxthon Cloud Browser. To sztuczne gpedit w ogóle nie działa poprawnie w edycjach Home, tworzy tylko pozory: KLIK. Natomiast Maxthon jest powiązany z "aferą szpiegowską": KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 KMDFVirtualKbd; \SystemRoot\System32\drivers\KMDFVirtualKbd.sys [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\City Car Driving.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TomTom C:\Users\Natalka\AppData\Local\MSfree Inc C:\Users\Natalka\AppData\Roaming\HPReyos C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа Intеrnеt Вrоwsеr.lnk C:\Users\Natalka\Desktop\KMSAuto Net.exe C:\Users\Natalka\Desktop\x\Nowy folder\GTA 3.lnk C:\Users\Natalka\Desktop\x\Nowy folder\mc2 — skrót.lnk C:\Users\Natalka\Desktop\x\Nowy folder\Sleeping Dogs Definitive Edition.lnk C:\Users\Natalka\Desktop\x\Nowy folder\TestDriveUnlimited.lnk C:\Users\Natalka\Desktop\x\Nowy folder\Tropico 5.lnk C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CNext.lnk C:\Users\Public\Desktop\Ореrа.lnk CMD: ipconfig /flushdns CMD: type C:\WINDOWS\system32\Drivers\etc\hosts EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Skróty Opery zostały usunięte, odtwórz sobie ręcznie w wybranych miejscach skróty do poprawnej ścieżki. W Operze zlikwiduj przywracanie poprzedniej sesji: Ustawienia > sekcja Przeglądarka > Po uruchomieniu przeglądarki > "Kontynuuj poprzednią sesję" przestaw na "Otwórz stronę startową". Przy okazji, skoro masz zainstalowany uBlock Origin, Adblock Plus jest zbędny. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Zoek wykonał zadanie i nie powinieneś już widzieć "Apple Software Update" na liście zainstalowanych. Na wszelki wypadek możesz zrobić log USBFix z opcji Listing przy podpiętym pendrive. Te które znalazłeś i jesteś pewien, że to szczątki możesz oczywiście usunąć. Mógłbyś też uruchomić wersję CCleaner Portable, zrobić skan na wyszukiwanie śmieci w rejestrze i dostarczyć log do oceny. Czyszczenie rejestru w rozumieniu automatycznego wyszukiwania wpisów odpadkowych jest ryzykowne. Automat nigdy nie uzyska percepcji żywego człowieka i mogą zostać usunięte wpisy które nie powinny być. Tu na forum były rozmaite przeboje, użytkownicy wyczyścili rejestr "za bardzo" i pojawiły się liczne problemy w systemie, które trzeba było odkręcać np. Przywracaniem systemu. Natomiast kompaktowanie rejestru za pomocą NTREGOPT, czy usuwanie plików tymczasowych w CCleaner pożądane.

Zadania wykonane zgodnie z planem. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Przesłałam na PW zedytowany plik Secure Preferences. Zamknij Google Chrome, skopiuj obecny plik Secure Preferences np. na Pulpit, następnie wstaw mój plik. Uruchom Chrome i podaj czy przeglądarka zaakceptowała zmiany i czy nadal AdwCleaner widzi ten wtręt.

Fix FRST uruchomiłeś aż 4 razy, to skrypt jednorazowego użytku i nie zrobi ponownie tej samej operacji, wszystko wykonuje się tylko w pierwszym podejściu (o ile nie ma błędu). Nie ma tu Fixlog z pierwszego podejścia, ale widzę po logach głównych, że wszystko zostało usunięte. Teraz już tylko poprawki. W międzyczasie doinstalowałeś kolejny lewy skaner, czyli Reimage. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [6489456 2016-09-28] (Reimage®) Task: {4ED21A64-B1C2-45BE-B2DD-4B8DFFEDE318} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2016-09-28] (Reimage®) Task: {F26BFC64-F480-426B-95D4-EC1E586E66C4} - System32\Tasks\{7C6C9317-B782-48C9-BDAD-2C8930909309} => RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KRECYCLE RemoveDirectory: C:\Program Files\Reimage RemoveDirectory: C:\Program Files\SUPERAntiSpyware RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\Kingsoft RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\vengador\AppData\Local\Kingsoft RemoveDirectory: C:\Users\vengador\AppData\Roaming\Kingsoft RemoveDirectory: C:\Users\vengador\AppData\Roaming\Solvusoft RemoveDirectory: C:\Users\vengador\AppData\Roaming\TomTom RemoveDirectory: C:\Windows\system32\log CMD: del /q C:\Windows\grep.exe CMD: del /q C:\Windows\MBR.exe CMD: del /q C:\Windows\NIRCMD.exe CMD: del /q C:\Windows\PEV.exe CMD: del /q C:\Windows\Reimage.ini CMD: del /q C:\Windows\sed.exe CMD: del /q C:\Windows\SWREG.exe CMD: del /q C:\Windows\SWSC.exe CMD: del /q C:\Windows\zip.exe CMD: del /q C:\Windows\system32\roboot.exe CMD: del /q C:\Windows\system32\Drivers\kisnetmxp.sys CMD: del /q C:\Windows\system32\Drivers\kisnetm.sys CMD: del /q C:\Windows\system32\Drivers\kisnetm64.sys CMD: del /q C:\Windows\system32\Drivers\ksapi64.sys Plik zapisz pod nazwą fixlist.txt w folderze FRST + GMER Na Pulpicie z którego uruchamiasz FRST. Tym razem plik nie musi być w UTF-8. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu. W folderze FRST + GMER powstanie nowy plik fixlog.txt. Dostarcz go tu jako załącznik posta. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\vengador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

Fragmenty wspominanych adware były także czyszczone w skrypcie FRST. Ich pochodna to m.in. "Asystent pobierania" dobrychprogramów: KLIK. 1. Uruchom AdwCleaner ponownie, wybierz opcje Skanuj + Oczyść. Gdy program ukończy robotę: 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox, gmer oraz Nowy folder z FRST i jego logami. Następnie skorzystaj jeszcze z DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj Internet Explorer 11 (pobieranie też pod w/w linkiem) i upewnij się, że wszystkie aktualizacje z Windows Update są zaaplikowane. To wszystko.

Przejścia do nowej linii mogą wyglądać inaczej w edytorze wizualnym forum, jeśli kopiowane z innych edytorów niż Notatnik oraz via przeglądarka Internet Explorer. Tzn. forum jest "skleja" do postaci para-jednoliniowej. Autokorekta przejść do nowej linii następuje po przełączeniu edytora w tryb BBCode i z powrotem. Doczyść te śmieci, które wspominałam: 1. Odinstaluj adware/PUP i starą wtyczkę Facebooka: AVG Web TuneUp, eBay Worldwide, Facebook Video Calling 3.1.0.521, Mobogenie, sweet-page uninstall, WindowsMangerProtect20.0.0.722. Przy okazji możesz rozważyć wyrzucenie pewnych firmowych integracji Acera, np. WildTangent Games. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą zlikwiduj odpadek po McAfee Shared C Run-time for x64 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> mysearch.avg.com/?rvt=1 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1663862098-2173623241-2597219904-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={A028208E-F993-4D01-8414-D9A0E23879F5}&mid=b3b2dcccc22d47cd9d69f1c0c267e3e5-778669c1c206f2d53cedf9ad41140cc89ab96d03&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0415av&pr=fr&d=2015-05-06 16:32:44&v=4.3.1.831&pid=wtu&sg=&sap=hp SearchScopes: HKU\S-1-5-21-1663862098-2173623241-2597219904-1004 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={A028208E-F993-4D01-8414-D9A0E23879F5}&mid=b3b2dcccc22d47cd9d69f1c0c267e3e5-778669c1c206f2d53cedf9ad41140cc89ab96d03&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0116tb&pr=fr&d=2015-05-06 16:32:44&v=4.3.1.831&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1663862098-2173623241-2597219904-1004 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={A028208E-F993-4D01-8414-D9A0E23879F5}&mid=b3b2dcccc22d47cd9d69f1c0c267e3e5-778669c1c206f2d53cedf9ad41140cc89ab96d03&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0116tb&pr=fr&d=2015-05-06 16:32:44&v=4.3.1.831&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1663862098-2173623241-2597219904-1004 -> {E891FE45-33C8-4D81-A918-F81F03ED2214} URL = DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins HKLM\...\StartupApproved\Run32: => "mcui_exe" HKLM\...\StartupApproved\Run32: => "vProt" HKLM-x32\...\Run: [LManager] => [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1663862098-2173623241-2597219904-1004\...\Policies\Explorer: [] Task: {1140A6A3-4755-48A6-B634-167D068006AF} - \Yahoo! Search -> Brak pliku Task: {51167CD2-B384-4135-B9EF-592CFF954879} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku Task: {77BAC94B-3472-4A2F-B868-2C17F5B8E4FE} - \Yahoo! Search Updater -> Brak pliku Task: {DD3D1D2C-9837-4807-82CC-0C2A65B26A03} - System32\Tasks\{29636F93-2C0E-46AC-8B3C-95E1DCCF116F} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.0.73.102.456/pl/abandoninstall?page=tsProgressBar C:\Program Files (x86)\GUT631F.tmp C:\Program Files (x86)\GUTFFCA.tmp C:\Users\iwona\AppData\Local\Google\Chrome\User Data\Guest Profile CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome odmontuj rozszerzenie AVG Secure Search, o ile nie zniknie po deinstalacji głównego paska AVG. Zaś AdBlocka (obecnie to kopia Adblock Plus i ma listę akceptowalnych reklam) proponuję wymienić uBlock Origin. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. A te skróty to zakładam, że już samodzielnie usunąłeś.

Skrypt FRST pomyślnie wykonany. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST oraz drugi FRST z Pulpitu. Wyczyść też foldery Przywracania systemu: KLIK. I czekam na logi z pozostałych systemów.

Czy na pewno po deinstalacjach antywirusów zresetowałeś system? W raportach wiele odpadkowych usług po tych instalacjach, a mimo iż wyszczerbione, są w stanie "Uruchomiono". Doczyszczanie: Zresetuj system, by zatrzymać aktywność martwych sterowników. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 QHActiveDefense; "C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe" [X] R3 360AvFlt; C:\Windows\SysWOW64\DRIVERS\360AvFlt.sys [86248 2016-09-28] (360.cn) R3 360Box64; system32\DRIVERS\360Box64.sys [X] R4 cm_km; system32\DRIVERS\cm_km.sys [X] R4 kl1; system32\DRIVERS\kl1.sys [X] R4 kldisk; \SystemRoot\system32\DRIVERS\kldisk.sys [X] R4 klflt; \SystemRoot\system32\DRIVERS\klflt.sys [X] R4 klhk; \SystemRoot\System32\drivers\klhk.sys [X] R4 KLIF; system32\DRIVERS\klif.sys [X] R4 klkbdflt2; \SystemRoot\system32\DRIVERS\klkbdflt2.sys [X] R4 klpd; system32\DRIVERS\klpd.sys [X] R4 klwfp; \SystemRoot\system32\DRIVERS\klwfp.sys [X] R4 kneps; \SystemRoot\system32\DRIVERS\kneps.sys [X] S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] U0 msahci; system32\drivers\msahci.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" FirewallRules: [{38D7CE7D-8532-4AA3-A332-0267DA3C6EC3}] => (Allow) C:\Program Files (x86)\GlassWire\GWCtlSrv.exe FirewallRules: [{03F392E9-7415-4DB2-A2A3-305A0729454E}] => (Allow) C:\Program Files (x86)\GlassWire\GWCtlSrv.exe SearchScopes: HKU\S-1-5-21-2266852984-1462261950-973197745-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\$360Section RemoveDirectory: C:\Program Files\Common Files\McAfee RemoveDirectory: C:\Program Files (x86)\360 RemoveDirectory: C:\Program Files (x86)\McAfee RemoveDirectory: C:\ProgramData\360Quarant RemoveDirectory: C:\ProgramData\GlassWire RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Users\paulinkaa\AppData\Local\GlassWire RemoveDirectory: C:\WINDOWS\Tasks\360Disabled CMD: del /q C:\AVScanner.ini CMD: del /q C:\WINDOWS\SysWOW64\Drivers\360AvFlt.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.