picasso

Niestety malware nie zostało usunięte wcale, a plik fixlist.txt jest pusty. Czy po otworzeniu notatnika przez CTRL+Y i wklejeniu treści do pliku na pewno zastosowałeś CTRL+S? Proszę ponów próbę wg wcześniej podanych kroków, ale dla pewności zapisz plik przy udziale opcji Notatnika Plik > Zapisz.

Z tego wynika, że narzędzie nie może pracować w kontekście konta SYSTEM. Na teraz jedyne co mi jeszcze przychodzi do głowy w kwestii zrzucenia oryginalnych uprawnień, to zmiana kontekstu SetACL. Przenieś z Pulpitu plik do ścieżki C:\fix.txt. Uruchom cmd jako SYSTEM przy pomocy wcześniej podanych programów i wklej komendę: SetACL -on "C:\ProgramData\Microsoft\Search\Data" -ot file -actn restore -bckp C:\fix.txt Jeśli pojawi się ponownie błąd "SetACL error message: The SID for a trustee could not be found" zaprzestajemy prób z tą metodą.

@Krzesimierz Oj bronisz tego śmiecia. Nie chcę się wykłócać. Trzymam się reguły, by w pierwszej kolejności pozbyć się szkodników i dopiero na czystym polu oceniać sytuację. To że instruktor na BC ominął program nie jest wyznacznikiem. Powinno Cię przekonać raczej, że program jest usuwany przez Malwarebytes i AdwCleaner. Oczywiście, że objawy w linku są inne, ale podałam ten przykład, by unaocznić, że nie mówimy tu o cichutkum programiku tylko o procesie który stale coś robi w tle. Nie jest też wykluczone, że przez to że zabiera zasoby stwarza utrudnienia dla innych procesów.

Niestety nadal błąd zrzucania kopii i nie mam pomysłu jakie jest jego źródło i o który SID się czepia narzędzie. Ostatni pomysł przed pójściem spać to zmienić kontekst uprawnień uruchamianego diagnostyka. Skorzystaj z jednego z tych programów, by uruchomić diagnostyk jako "SYSTEM":

Do przeprowadzenia następujące działania: 1. Przez Panel sterowania odinstaluj stare nieaktualizowane programy: Adobe AIR, Adobe Flash Player 32 NPAPI, Apple Software Update, Microsoft Security Essentials, Obsługa programów Apple, Podstawowe programy Windows Live, QuickTime 7. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S3 updater; C:\Program Files (x86)\WinXT\blog\nssm.exe [368640 2017-04-26] (Iain Patterson) [Brak podpisu cyfrowego] R2 WinLoading; C:\Program Files (x86)\WinXT\blog\nssm.exe [368640 2017-04-26] (Iain Patterson) [Brak podpisu cyfrowego] S2 Freemake Improver; C:\ProgramData\Freemake\FreemakeUtilsService\FreemakeUtilsService.exe [X] S2 RealtekWlanU; C:\Program Files (x86)\Realtek\USB Wireless LAN Utility\RtlService.exe [X] S2 RTLDHCPService; C:\Program Files (x86)\Realtek\USB Wireless LAN Utility\RTLDHCP.exe [X] S2 tcsd_win32.exe; "C:\Program Files\Dell\Dell Data Protection\Drivers\TSS\bin\tcsd_win32.exe" [X] U3 aswbdisk; Brak ImagePath S3 MpKsl3090a9b1; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DC7417DE-B453-406D-94AC-47B94F3D2947}\MpKslDrv.sys [X] S3 MpKsla6fb2b65; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DC7417DE-B453-406D-94AC-47B94F3D2947}\MpKslDrv.sys [X] S1 UimBus; system32\DRIVERS\uimbus.sys [X] S1 Uim_DEVIM; system32\DRIVERS\uimdevim.sys [X] HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\...\Run: [CubeDesktop] => [X] HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\...\MountPoints2: {acc5441f-464c-11eb-9cbd-4c809385d8b9} - E:\HiSuiteDownLoader.exe HKU\S-1-5-18\...\Run: [] => [X] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk [2021-06-19] GroupPolicy: Ograniczenia ? <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA Task: {09B572F6-0A13-43E8-BCD0-C330BF54BD1E} - System32\Tasks\{BF8082B2-2A07-43AD-86CF-94B15450E06B} => C:\Windows\system32\pcalua.exe -a C:\Users\Patryk\Downloads\xsplit_5fef816b62342_5fef816b62344\xsplit_5fef816e9d4bd\FileSetup-v36.21.43\FileSetup-v36.21.43.exe -d C:\Users\Patryk\Downloads\xsplit_5fef816b62342_5fef816b62344\xsplit_5fef816e9d4bd\FileSetup-v36.21.43 Task: {0AE17C69-41B9-428A-B974-AC91D326B19D} - System32\Tasks\{8C4C2114-2C65-4EC2-B2DC-81926C769511} => C:\Windows\system32\pcalua.exe -a "C:\Users\Patryk\Downloads\Festo FluidSim V3.6 Full\Festo FluidSim V3.6 Full\FluidSim.English.Pack.by.CHEOPE.exe" -d "C:\Users\Patryk\Downloads\Festo FluidSim V3.6 Full\Festo FluidSim V3.6 Full" Task: {3716D836-C7EC-4976-A60B-7FF64FD01D07} - System32\Tasks\updater2 => C:\Program Files (x86)\WinXT\blog\updater.exe [593920 2021-06-26] (WinXT) [Brak podpisu cyfrowego] <==== UWAGA Task: {4417B143-FDB0-44DE-8CBE-581389A7A029} - System32\Tasks\{6FA8C712-99F7-4BB3-B798-2D44B4956EBD} => C:\Windows\system32\pcalua.exe -a "C:\Users\Patryk\Downloads\MONKEY ISLAND THE SECRET.exe" -d C:\Users\Patryk\Downloads Task: {745C632E-46C1-4637-B65E-B54E601CEC70} - System32\Tasks\{AA15F915-B94A-4A61-A962-60526CA625A6} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\SplitMediaLabs\XSplit\XSplit_Plugin_Installer.exe" -d "C:\Program Files (x86)\SplitMediaLabs\XSplit" Task: {D871A0E0-05A5-4077-8DA6-E07E07B597DD} - System32\Tasks\{69FF0014-B755-47E8-95A7-ECE035E474CB} => C:\Windows\system32\pcalua.exe -a C:\Users\Patryk\Downloads\CubeDesktop\CubeDesktopTryOut.exe -d C:\Users\Patryk\Downloads\CubeDesktop Task: C:\Windows\Tasks\updater2.job => C:\Program Files (x86)\WinXT\blog\updater.exe <==== UWAGA 2021-06-28 12:07 - 2021-06-28 12:07 - 000000000 ____D C:\ProgramData\WinXT 2021-06-26 22:20 - 2021-06-26 22:20 - 000000000 ____D C:\Users\Patryk\AppData\Roaming\WinXT 2021-06-26 22:20 - 2021-06-26 22:20 - 000000000 ____D C:\Program Files (x86)\WinXT 2021-06-19 11:37 - 2021-06-19 23:01 - 000000000 ____D C:\ProgramData\Avast Software 2021-06-19 12:19 - 2021-04-08 09:42 - 000000000 ____D C:\Program Files\McAfee 2021-02-11 12:47 - 2021-02-11 12:53 - 000000004 _____ () C:\ProgramData\lock.dat 2021-02-11 12:48 - 2021-02-11 12:53 - 000000004 _____ () C:\ProgramData\rc.dat 2021-02-11 12:47 - 2021-02-11 12:47 - 000000008 _____ () C:\ProgramData\ts.dat FF NewTab: Mozilla\Firefox\Profiles\oqzqupfm.default -> hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName= FF NewTab: Mozilla\Firefox\Profiles\bb786d85.default-release -> hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName= CHR DefaultSearchURL: Default -> hxxps://pl.search.yahoo.com/search?fr=mcafee_uninternational&type=E210PL91105G0&p={searchTerms} CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName= SearchScopes: HKU\S-1-5-21-3725637032-4102558920-3925882777-1003 -> {993F5746-4C15-42BC-99C1-064A1764271B} URL = hxxps://securesearch.org?q={searchTerms} IE trusted site: HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\...\webcompanion.com -> hxxp://webcompanion.com DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] cmd: netsh adfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan) włącznie z Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy nastąpiła poprawa.

Nadal jest ten sam błąd i nie wiem dlaczego. Sprawdź jeszcze co się stanie po zastąpieniu pierwszej komendy ze skryptu przez reset uprawnień FRST: Unlock: C:\ProgramData\Microsoft\Search\Data cmd: SetACL -on "C:\ProgramData\Microsoft\Search\Data" -ot file -actn restore -bckp C:\Users\Andman\Desktop\fix.txt

Pojawił się błąd podczas zrzucania kopii uprawnień. Spróbuj zmodyfikowanej wersji (zastępującej polską nazwę grupy przez SID) i przedstaw fixlog.txt: cmd: SetACL -on "C:\ProgramData\Microsoft\Search\Data" -ot file -actn setowner -ownr n:S-1-5-32-544 -rec cont_obj cmd: SetACL -on "C:\ProgramData\Microsoft\Search\Data" -ot file -actn restore -bckp C:\Users\Andman\Desktop\fix.txt

Ostatecznie możemy jeszcze spróbować ustawić uprawnienia na identyczne jak moje. 1. Pobierz SetACL (klik w "Administrators: Download the EXE version of SetACL.."). Rozpakuj pobraną paczkę i z folderu x64 przekopiuj plik SetACL.exe do katalogu C:\Windows. 2. Otwórz Notatnik i wklej w nim: "\\?\C:\ProgramData\Microsoft\Search\Data",1,"O:SYD:(A;OIIO;GA;;;BA)(A;CI;FA;;;BA)(A;OIIO;GA;;;SY)(A;CI;FA;;;SY)" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Config",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows\GatherLogs",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\PropMap",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SecStore",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Temp",1,"O:SY" "\\?\C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc",1,"O:SY" Plik zapisz pod nazwą fix.txt na Pulpicie. Zarówno nazwa pliku jak i lokalizacja są obligatoryjne, gdyż te parametry zostaną użyte w skrypcie przywracającym uprawnienia podanym poniżej. 3. Uruchom FRST. Z klawiatury CTRL+Y i wklej do pliku następującą treść: cmd: SetACL -on "C:\ProgramData\Microsoft\Search\Data" -ot file -actn setowner -ownr n:Administratorzy -rec cont_obj cmd: SetACL -on "C:\ProgramData\Microsoft\Search\Data" -ot file -actn restore -bckp C:\Users\Andman\Desktop\fix.txt Z klawiatury CTRL+S. Następnie klik w Napraw. Przedstaw wynikowy fixlog.txt. Po operacji sprawdź co mówi diagnostyk.

Wbudowane w system środowisko odzyskiwania RE wymaga logowania przy udziale lokalnego konta. By to obejść skorzystaj z zewnętrznego środowiska odzyskiwania RE wbudowanego w instalator Windows 10: Na innym komputerze utwórz przy udziale Narzędzia do tworzenia nośnika Windows 10 bootowalny USB. Upewnij się w BIOS, że jest ustawione bootowanie z USB jako pierwsze. Na ekranie proponującym instalację systemu wybierz na spodzie opcję Napraw komputer, która to prowadzi do zestawu opcji naprawczych. W związku z tym, że nawet konta administracyjne nie są wykrywane proponuję od razu skorzystać z Przywracania systemu, o ile w ogóle były jakieś punkty...

Co się więc teraz dzieje z wyszukiwaniem i czy diagnostyk nadal ma zastrzeżenia?

Szczerze mówiąc to nie jest pewne czy zwracany błąd odbija rzeczywistą przyczynę, bo wydaje mi się że powinny się tam jednak pojawić detale o jakie uprawnienia chodzi. W tej sytuacji spróbuj przeładować komponent wyszukiwania: 1. Uruchom cmd jako Administrator i wklej komendę: dism /Online /Disable-Feature /FeatureName:"SearchEngine-Client-Package" Jeśli wykona się pomyślnie, zresetuj system. 2. Następnie komponent włącz ponownie przy udziale: dism /Online /Enable-Feature /FeatureName:"SearchEngine-Client-Package"

Hmmm, te uprawnienia są bardzo bliskie moich, tzn. Administratorzy i SYSTEM mają Pełną kontrolę, choć są małe różnice w obszarze dziedziczenia. Spróbujmy z innej beczki: 1. Wklej w pasku eksploratora ścieżkę C:\ProgramData\Microsoft\Search\Data i ENTER. Otrzymasz spodziewany komunikat o braku dostępu. Wybierz opcję Kontynuuj. To działanie doda do uprawnień Twoje bieżące konto. 2. Ponownie uruchom diagnostyk wyszukiwania i daj znać czy nadal zgłasza się błąd o niemożności korekty uprawnień.

Czyli brak konkretów. Sprawdźmy aktualne uprawnienia katalogu Windows Search. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: ListPermissions: C:\ProgramData\Microsoft\Search ListPermissions: C:\ProgramData\Microsoft\Search\Data Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Czy na tym drugim oknie dialogowym opcja "Wyświetl szczegółowe informacje" podaje jakieś konkrety?

Dla jasności: czyli zniknął problem z ociężałym startem Windows, ale nadal występuje zawieszanie podczas wyszukiwania plików? Wypróbuj, po każdym kroku sprawdzając rezultaty: 1. Przebuduj indeks wyszukiwania. Klawisz z flagą Windows + R i w polu Uruchom wklej poniższą komendę. Otworzy się okno "Opcje indeksowania". Wybierz Zaawansowane i opcję Odbuduj. rundll32.exe shell32.dll,Control_RunDLL srchadmin.dll 2. Zastosuj automatyczny diagnostyk: Ustawienia > Aktualizacja i zabezpieczenia > Rozwiązywanie problemów > Dodatkowe narzędzia do rozwiązywania problemów > Wyszukiwanie i indeksowanie. W opcjach do wyboru będzie m.in. pozycja relatywna do spowolnienia systemu podczas wyszukiwania. 3. Uruchom cmd jako Administrator i wklej komendę: dism /online /cleanup-image /restorehealth

W systemie są 3 sterowniki: ===================== Sterowniki (filtrowane) =================== S3 dtlitescsibus; C:\WINDOWS\System32\drivers\dtlitescsibus.sys [30264 2017-10-26] (Disc Soft Ltd -> Disc Soft Ltd) S3 dtliteusbbus; C:\WINDOWS\System32\drivers\dtliteusbbus.sys [47672 2017-10-26] (Disc Soft Ltd -> Disc Soft Ltd) R0 sptd2; C:\WINDOWS\System32\Drivers\sptd2.sys [203296 2020-06-14] (Disc Soft Ltd -> Duplex Secure Ltd) 1. Sterownik sptd2 odinstaluj przy pomocy dedykowanego deinstalatora linkowanego w przyklejonym temacie. 2. Pozostałe dtlitescsibus i dtliteusbbus skasuj za pomocą Autoruns, a powiązane pliki usuń z dysku. Nowe raporty z FRST na razie nie są konieczne.

Log główny z FRST jest obcięty (brak nagłówka i listy procesów). Poproszę o zrobienie raportu ponownie i wtedy przejdę do usuwania. W systemie działa obiekt wyglądający na koparkę zasobów: Task: {3716D836-C7EC-4976-A60B-7FF64FD01D07} - System32\Tasks\updater2 => C:\Program Files (x86)\WinXT\blog\updater.exe [593920 2021-06-26] (WinXT) [Brak podpisu cyfrowego] <==== UWAGA Task: C:\Windows\Tasks\updater2.job => C:\Program Files (x86)\WinXT\blog\updater.exe <==== UWAGA S3 updater; C:\Program Files (x86)\WinXT\blog\nssm.exe [368640 2017-04-26] (Iain Patterson) [Brak podpisu cyfrowego] R2 WinLoading; C:\Program Files (x86)\WinXT\blog\nssm.exe [368640 2017-04-26] (Iain Patterson) [Brak podpisu cyfrowego]

Ja tu wcale nie wykluczam Avasta, ale i tak sugeruję rozpocząć od pozbycia się programu który nie tylko jest bezużyteczny i zawiera moduł produkujący reklamy, ale konsumuje zasoby robiąc Bóg wie co w tle. Dużo tematów w tym kontekście, przykładowa dyskusja z Reddit:

W raportach brak oznak infekcji. Jak rozumiem problem z pobieraniem plików występuje też w Firefox i Operze i dotyczny różnych plików a nie tylko FRST. Zbyt przedsiębiorcze blokowanie może być wynikiem złych ustawień w rejestrze lub aktywności innego programu zabezpieczającego. Kiedyś rozwiązałam podobny problem generowany przez aktywne szczątki antywirusa Panda. Tutaj widzę, że został odinstalowany McAfee, ale nadal działa WebAdvisor będący prawdopodobnie częścią większej instalacji, są także szczątki Avast. Drugi problem to strasznie mało wolnego miejsca na dysku, a w toku jest aktualizacja Wersji systemu i nie jest to wykonalne w takim stanie: ==================== Dyski ================================ Drive c: (Acer) (Fixed) (Total:118.13 GB) (Free:4 GB) NTFS Na początek do wykonania następujące działania: 1. Przez Panel sterowania odinstaluj: Bonjour (generuje błędy w Dzienniku zdarzeń), Dashlane Upgrade Service (program główny nieobecny na liście zainstalowanych), WebAdvisor firmy McAfee. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2986788638-176516453-764042509-1001\...\Run: [] => [X] HKU\S-1-5-21-2986788638-176516453-764042509-1001\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [4103224 2020-01-07] (Microsoft Windows -> Microsoft Corporation) <==== UWAGA HKU\S-1-5-18\...\Run: [GarminExpress] => "C:\Program Files (x86)\Garmin\Express\express.exe" /minimized HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Task: {6F425DE7-A39F-442D-AF8B-DE3A7375900B} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA Task: {AE0192F8-6168-4DF9-A837-048D4DD99A89} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1790184 2021-04-30] (Avast Software s.r.o. -> Avast Software) Task: {D48E6CB7-86E7-48A0-A3B6-4D805F7A74F3} - System32\Tasks\Microsoft\Windows\CUAssistant\CULauncher => C:\Program Files\CUAssistant\culauncher.exe S4 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\2.7.371.0\\McCSPServiceHost.exe" [X] U3 aswbdisk; Brak ImagePath ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKU\S-1-5-21-2986788638-176516453-764042509-1001\Software\Classes\exefile: <==== UWAGA SearchScopes: HKU\S-1-5-21-2986788638-176516453-764042509-1001 -> DefaultScope {9FE06946-E8B6-4E45-A990-21CB415E6EBD} URL = SearchScopes: HKU\S-1-5-21-2986788638-176516453-764042509-1001 -> {9FE06946-E8B6-4E45-A990-21CB415E6EBD} URL = Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - Brak pliku OPR Notifications: Opera Stable -> hxxps://poczta.onet.pl; hxxps://www-butyjana-pl-03.salesmanagopush.com C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast Free Antivirus.lnk C:\Program Files\mcafee C:\Program Files\Common Files\AVAST Software C:\Program Files\Common Files\McAfee C:\Windows\System32\Tasks\Avast Software C:\WINDOWS\system32\Tasks\McAfee C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk C:\Users\Magda\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Magda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\McAfee WebAdvisor.lnk C:\Users\Magda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Avast Secure Browser.lnk DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service DeleteKey: HKU\S-1-5-21-2986788638-176516453-764042509-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avast Software DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteValue: HKLM\SOFTWARE\Mozilla\Firefox\Extensions|{4ED1F68A-5463-4931-9384-8FFF5ED91D92} DeleteValue: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions|{4ED1F68A-5463-4931-9384-8FFF5ED91D92} ExportKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments ExportKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki. Firefox: Odłącz synchronizację (o ile włączona): Instrukcje. W pasku adresów wpisz about:support i ENTER. Kliknij opcję Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Google Chrome: Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Nie loguj się na konto Google, dopóki nie zostanie ukończone czyszczenie komputera. W pasku adresów wpisz chrome://extensions i ENTER. Odinstaluj Avast SafePrice | Porównania, promocje, kupony, McAfee® WebAdvisor, Avira Browser Safety. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Dodatkowo, na poszkodowanym komputerze w Chrome wyłącz tymczasowo ochronę i sprawdź czy będzie można pobrać plik: Menu Ustawienia > Prywatność i bezpieczeństwo > Bezpieczeństwo > ustaw Brak ochrony (niezalecane)

Mnie chodziło raczej o to, by pobrać FRST z poziomu innego komputera i przy udziale pendrive go przenieść na poszkodowany komputer.

Temat przenoszę do działu Windows. @Andman W Dzienniku zdarzeń są następujące błędy: Dziennik System: ============= Error: (07/01/2021 12:46:38 PM) (Source: DCOM) (EventID: 10001) (User: LAPTOP-S6E15FKF) Description: Nie można uruchomić serwera DCOM: Microsoft.YourPhone_1.21042.143.0_x64__8wekyb3d8bbwe!App.AppXvctmff39365zg14pgmystcwtys462fpa.mca jako Niedostępny/Niedostępny. Błąd: 2147958016 Błąd wystąpił podczas uruchamiania polecenia: "C:\Program Files\WindowsApps\Microsoft.YourPhone_1.21042.143.0_x64__8wekyb3d8bbwe\YourPhone.exe" -ServerName:App.AppX9yct9q388jvt4h7y0gn06smzkxcsnt8m.mca Error: (07/01/2021 12:46:36 PM) (Source: DCOM) (EventID: 10010) (User: LAPTOP-S6E15FKF) Description: Serwer Microsoft.YourPhone_1.21042.143.0_x64__8wekyb3d8bbwe!App.AppXvctmff39365zg14pgmystcwtys462fpa.mca nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (06/18/2021 08:57:35 AM) (Source: DCOM) (EventID: 10010) (User: LAPTOP-S6E15FKF) Description: Serwer {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (06/18/2021 08:57:34 AM) (Source: DCOM) (EventID: 10010) (User: LAPTOP-S6E15FKF) Description: Serwer {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (06/18/2021 08:57:34 AM) (Source: DCOM) (EventID: 10010) (User: LAPTOP-S6E15FKF) Description: Serwer {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (06/18/2021 08:57:34 AM) (Source: DCOM) (EventID: 10010) (User: LAPTOP-S6E15FKF) Description: Serwer {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5} nie zarejestrował się w modelu DCOM w wymaganym czasie. Najbardziej pasujący błąd to ten odnoszący się do klasy {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5} czyli "Thumbnail Cache Out of Proc Server". Tylko jest niejasne czy on nadal występuje. Z klawiatury klawisz z flagą Windows + R, w polu Uruchom wklej dcomcnfg. Podczas uruchamiania przystawka wykonuje automatyczną reperację uszkodzonych klas DCOM. To może wystarczyć, ale są przypadki gdy trzeba naprawiać błędy dostępowe ręcznie w tej konsoli. Daj znać czy po uruchomieniu dcomcnfg nastąpiły jakieś zmiany. @Krzesimierz FRST wylicza wyłącznie programy zarejestrowane na poziomie rejestru. W przyklejonym temacie jest informacja, że te programy tworzą wejścia deinstalacyjne w Menu Start a nie rejestrze, więc nie będą widoczne w raporcie FRST. To oczywiście nie oznacza, że te sterowniki to nie są jakieś pozostałości, ale to można ustalić "słownie" a nie przy pomocy logów. EDIT: Nie jest tu też wykluczone, że jeden ze sterowników (sptd2) pochodzi od CDBurnerXP, bo program ma Tryb SPTD.

Dostarcz obowiązkowe raporty z FRST:

@Krzesimierz Ale ja właśnie mówię, że wejścia załączone w Twoim Fixie do FRST są martwe (nic nie uruchamiają), więc wykonanie tego działania to kosmetyka. Należy szukać raczej obiektów które są aktywne. Dodatkowo, wersja Lenovo App Explorer niekoniecznie jest tą pierwotną, program mógł się uaktualnić.

@kornad Rozpocznij od deinstalacji Lenovo App Explorer. To śmieciarski program od dystrybutora niepożądanych programów integrowany niestety na komputerach Lenovo. Jest znany z obniżania wydajności systemu. Cały czas działa w tle przy udziale zaplanowanego zadania. ==================== Procesy (filtrowane) ================= (SweetLabs Inc. -> SweetLabs, Inc) C:\Users\Family\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe ==================== Zaplanowane zadania (filtrowane) ============ Task: {A87D1E77-DF04-4F99-9BB1-F80F06874888} - System32\Tasks\App Explorer => C:\Users\Family\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7744560 2021-01-20] (SweetLabs Inc. -> SweetLabs, Inc) <==== UWAGA ==================== Zainstalowane programy ====================== Lenovo App Explorer (HKU\S-1-5-21-3913029555-3303909979-4013506829-1000\...\Host App Service) (Version: 0.272.1.560 - SweetLabs for Lenovo) <==== UWAGA Lenovo App Explorer (HKU\S-1-5-21-3913029555-3303909979-4013506829-1001\...\Host App Service) (Version: 0.273.4.227 - SweetLabs for Lenovo) <==== UWAGA Po deinstalacji zastosuj AdwCleaner który powinien usunąć jego wystąpienie również z niedostępnego konta defaultuser0 oraz ewentualnie inne resztki. Pokaż raport z AdwCleaner oraz nowe raporty z FRST. @Krzesimierz Klucze StartupApproved oznaczają wejścia wyłączone przy udziale Menedżera zadań. Podczas deinstalacji programu nie są usuwane.