picasso

Deinstalacja tych aplikacji nie powinna mieć nic wspólnego z aspektami gwarancji. Nie wspominając już o tym, że ten "Lenovo Browser Guard" to jest po prostu adware/PUP bezczelnie preinstalowany na Lenovo. W Twoim interesie jest pozbyć się tego.

Uruchomiłeś Fix FRST aż 4 razy (!), skrypty są jednorazowego użytku i nie przetworzą ponownie tego samego. W podanym Fixlog (ostatnim z serii) prawie nic nie przetwarzone, gdyż już pierwsze podejście pewnie załatwiło instrukcje. A reklamy są dalej, bo w międzyczasie powiększył się zakres infekcji i weszła infekcja serwerów DNS... Poza tym, widzę że coś kombinowałeś, są ślady usuwania aplikacji "Uzyskaj Windows 10", a jedna z usług Microsoftu (DiagTrack) nagle nie ma podpisu cyfrowego. Kolejne podejście: 1. Pobierz ponownie FRST, jest już nowsza wersja. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{0A543904-EF72-46C9-8BC4-95B264675839}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{439F60FC-B755-4442-B84A-D1FA2A7A29ED}: [NameServer] 104.197.191.4 HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTRAY.EXE" /regrun /qqrepair Task: {1774EF03-7AF0-4DD2-BBB3-F8726C3FF15F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {220E4994-1B1B-46E5-B793-C79A27573F33} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS.exe Task: {37E14062-5E56-4C5D-BD72-F4EEAE055BA4} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe Task: {44B0E29C-E5C2-4753-BFF5-54F1D2EB2492} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {467038DD-FCBA-4769-8160-0AA18FE342A7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {69BF19D3-B076-4EFC-A00F-780E443B3597} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {8B317F18-274B-4D4B-996B-8876EBA08E13} - \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser -> Brak pliku Task: {A0A7E15E-E0DB-4630-BD16-885FE5555682} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A1D60D55-A6B8-401B-BC05-2938E02DF2F2} - System32\Tasks\Microsoft\Windows Defender\MP Scheduled Scan => d:\program files\windows defender\MpCmdRun.exe Task: {C4E8B14A-4159-4C58-BDAD-281DBBFC97E8} - System32\Tasks\Microsoft\Windows Defender\MpIdleTask => d:\program files\windows defender\MpCmdRun.exe Task: {FA1EC4C2-CD35-4D2A-A5DB-99EEE9F88C1D} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe Task: C:\Windows\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS.exe C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\Users\Miłosz\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\Miłosz\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Windows\system32\aefo C:\Windows\system32\cecq C:\Windows\system32\eqo C:\Windows\system32\fale C:\Windows\system32\hoi C:\Windows\system32\jero C:\Windows\system32\kiyw C:\Windows\system32\nan C:\Windows\system32\osos C:\Windows\system32\uaz C:\Windows\system32\vidc DisableService: DiagTrack CMD: ipconfig /flushdns CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal widzisz problemy.

Opisy infekcji: KLIK / KLIK / KLIK. Niestety, nie ma szans na odkodowanie plików nowych wariantów, a id-numer.{mailrepa.lotos@aol.com}.CrySiS to nowy wariant. Niektóre starsze warianty był w stanie odkodować ESET, dla swoich klientów. W podanych tu raportach nie ma żadnych śladów aktywnej infekcji, tylko notki ransom (m.in. wstawione do katalogu Autostart). Skanery więc tu raczej nic nie wykryją, bo nie ma co wykrywać... Brak obecności / widoczności infekcji może wynikać z następujących przyczyn: - Przeważnie infekcja ma planowane samoczynne skasowanie się po wykonaniu zadania szyfrowania, gdy nie jest już po prostu potrzebna. - Oglądamy nie to środowisko użytkownika co należy. Podałeś raporty z wbudowanego serwisowego konta Administrator, wg FRST są conajmniej dwa dodatkowe Adm1n i k. A nie wykluczone że więcej. FRST wykrywa tylko i wyłącznie jeden typ kont lokalnych, schematy serwerowe nie są obsługiwane. - Widziany tu serwer nie jest źródłem. Atak mógł nastąpić z poziomu komputera klienckiego. Infekcja szyfrująca atakuje wszystkie możliwe dyski lokalne i sieciowe. Wystarczyło, że jeden z komputerów miał częściowy dostęp do serwera i już po zabawie. Ostrzeżenie, zwróć uwagę na zdolności wykradania haseł (cytat z trzeciego linka) : Z zakodowanymi danymi nic nie jestem w stanie zrobić. Jedyne więc w czym mogę pomóc, to usunięcie masowo nabitych notatek ransom i działania poboczne. 1. Usunięcie notatek ransom. Otwórz Notatnik i wklej: attrib -r -h -s "C:\How to decrypt your files.*" /s del /q /s "C:\How to decrypt your files.*" pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako DEL.BAT Kliknij prawym na plik i z menu wybierz opcję Uruchom jako administrator. 2. Próbując się ratować zainstalowałeś lewy skaner SpyHunter. Skorzystaj z narzędzia SpyHunterCleaner. 3. Konieczna szybka zmiana wszystkich poświadczeń logowania. Sugerowany też kompleksowy format.

Nie komentujesz sprawy pendrive, ale wg Fixlog zadanie pomyślnie wykonane, więc zakładam, że reszta poszła sprawnie. Operacje dla pozostałych systemów wykonane, aczkolwiek Fixy (jednorazowego użytku) zapuściłeś więcej niż raz. Czekam jeszcze na odczyt z trzeciego kompa i będziemy kończyć.

Jeśli chodzi o sprawę infekcji, to wygląda na to że mamy z głowy. Na Pracowniku skasuj FRST i jego logi. Na Adminie zostaw jeszcze FRST, bo może się okazać potrzebny. I z poziomu Admina zrób jeszcze na wszelki wypadek skan za pomocą Hitman Pro. Ewentualne znaleziska przedstaw, o ile będzie coś innego niż wykryty FRST (to fałszywy alarm). Nie ma potrzeby. Chodziło mi tylko o zawartość katalogu Scripts (okazał się pusty) oraz pliku Registry.pol (wg ostatniego Fixlog zawiera politykę deaktywującą system raportowania błędów Windows). Jak mówiłam, FRST notuje jakiś błąd operacyjny WMI. To należałoby rozwiązać, tylko na razie nie wiem o co chodzi. WmiDiag nie pokazuje nic strasznego (w tym kilka odczytów w ogóle do zignorowania). Dlatego właśnie mam zagwozdkę i potrzebuję więcej czasu.

W systemie aktywna instalacja adware SafeFinder (wpis AppInit_DLLs). Akcja: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj śmieci/zbędniki i PUPy integrowane na Lenovo: Amazon 1Button App, CCSDK, Host App Service, Lenovo Browser Guard, Lenovo Web Start, McAfee Security Scan Plus, SHAREit, Start Menu, UESDK oraz adware SafeFinder. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: C:\ProgramData\Viatax\Finla.dll => C:\ProgramData\Viatax\Finla.dll [257536 2016-02-26] () S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer1222.exe [235776 2015-12-15] (MustangService) S2 Viatax; C:\ProgramData\\Viatax\\Viatax.exe shuz -f "C:\ProgramData\\Viatax\\Viatax.dat" -l -a Task: {1AB177D3-A267-40A2-B492-EE443DE0909A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {21AD02CD-9873-4804-BA67-066C2CEB0D68} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {3CBD2704-7330-4CEF-B3B8-9468A1DA4620} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-08-18] (Lenovo) Task: {416244D0-795A-4462-9ECB-7C4C10EBB4D7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {436D5F49-7C3F-4A49-BA60-C20B60637051} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {44176105-7323-471C-B326-DF575371A8F3} - System32\Tasks\SweetLabs App Platform => C:\Users\margo\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe [2016-04-14] (Pokki) Task: {492A8E70-013C-4D87-B3A8-D751A3D823D1} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {7B297B15-0B02-4DF7-A01F-074C88CC9943} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {88FC3DFC-0878-41C1-B6F8-47B89690EF25} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {95F410D7-67B0-4F6F-8155-F1703E909DA7} - System32\Tasks\{413087B3-DE5C-464A-BF76-BC49D49DDC41} => Firefox.exe hxxp://ui.skype.com/ui/0/7.23.85.105/pl/abandoninstall?page=tsMain Task: {B359F89B-85CB-4A99-B504-629E8808D962} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B75608D8-9B9D-48B4-8686-D025DE9BACD8} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-03] (Lenovo) Task: {D0312744-7520-4EF2-B20E-3339BD48E049} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {D42345C8-E2FB-4139-B97F-B13A85E9B516} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo) Task: {D8D247ED-1907-4F4D-99FC-18FFD823ABBD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {E5B6FD62-5B43-4EC2-A21E-7897DB702812} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {E81C3F92-9FC9-4DD1-B84C-EADD1A926BD7} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {EB411CA3-1894-46C7-A077-046707E25717} - System32\Tasks\{BADC5A61-7B3F-4C9F-9B4F-23CD0B8216E8} => Firefox.exe hxxp://ui.skype.com/ui/0/7.16.0.102/pl/abandoninstall?source=lightinstaller&page=tsInstall HKLM-x32\...\Run: [snp2uvc] => C:\WINDOWS\vsnp2uvc.exe GroupPolicy: Ograniczenia - Chrome t Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=93168a6a-3e79-44e6-be13-a3b34dfbcde5 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=93168a6a-3e79-44e6-be13-a3b34dfbcde5 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=93168a6a-3e79-44e6-be13-a3b34dfbcde5 CustomCLSID: HKU\S-1-5-21-2591005290-4191423478-680388249-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\margo\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-2591005290-4191423478-680388249-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpK8a-1NkIliOBPhqj4Gjl2oQ8leHFGGj1PTQHg8CMNtoYyn1w9jpMg5Yq36lmrv-BpTN5-IK5GXOM31fVbY3WNQx1CGEyAAUy3RsqjTCVEGHLJRtY89s_Xjarc1aRalgXxySu79TV83cYlkFPFjS1anJFBYdA,,&q={searchTerms} HKU\S-1-5-21-2591005290-4191423478-680388249-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131046669735211896&GUID=BC9A4670-A20D-4945-A08F-BBABC750CC83 HKU\S-1-5-21-2591005290-4191423478-680388249-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpK8a-1NkIliOBPhqj4Gjl2oQ8leHFGGj1PTQHg8CMNtoYyn1w9jpMg5Yq36lmrv-BpTN5-IK5GXOM31fVbY3WNQx1CGEyAAUy3RsqjTCVEGHLJRtY89s_Xjarc1aRalgXxySu79TV83cYlkFPFjS1anJFBYdA,,&q={searchTerms} HKU\S-1-5-21-2591005290-4191423478-680388249-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpK8a-1NkIliOBPhqj4Gjl2oQ8leHFGGj1PTQHg8CMNtoYyn1w9jpMg5Yq36lmrv-BpTN5-IK5GXOM31fVbY3WNQx1CGEyAAUy3RsqjTCVEGHLJRtY89s_Xjarc1aRalgXxySu79TV83cYlkFPFjS1anJFBYdA,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpK8a-1NkIliOBPhqj4Gjl2oQ8leHFGGj1PTQHg8CMNtoYyn1w9jpMg5Yq36lmrv-BpTN5-IK5GXOM31fVbY3WNQx1CGEyAAUy3RsqjTCVEGHLJRtY89s_Xjarc1aRalgXxySu79TV83cYlkFPFjS1anJFBYdA,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2591005290-4191423478-680388249-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpK8a-1NkIliOBPhqj4Gjl2oQ8leHFGGj1PTQHg8CMNtoYyn1w9jpMg5Yq36lmrv-BpTN5-IK5GXOM31fVbY3WNQx1CGEyAAUy3RsqjTCVEGHLJRtY89s_Xjarc1aRalgXxySu79TV83cYlkFPFjS1anJFBYdA,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2591005290-4191423478-680388249-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpK8a-1NkIliOBPhqj4Gjl2oQ8leHFGGj1PTQHg8CMNtoYyn1w9jpMg5Yq36lmrv-BpTN5-IK5GXOM31fVbY3WNQx1CGEyAAUy3RsqjTCVEGHLJRtY89s_Xjarc1aRalgXxySu79TV83cYlkFPFjS1anJFBYdA,,&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.so-v.com/?type=ll&uid=93168a6a-3e79-44e6-be13-a3b34dfbcde5 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird C:\ProgramData\Pokki C:\ProgramData\TempMoudleSet C:\ProgramData\Viatax C:\Users\margo\AppData\Local\GG C:\Users\margo\AppData\Local\SweetLabs App Platform C:\Users\margo\AppData\Roaming\*.* C:\Users\margo\AppData\Roaming\GG C:\Users\margo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\PC App Store.lnk C:\Users\margo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Menu.lnk C:\Users\margo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\margo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis Lenovo Metric Collection SDK 35. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Opisz jak działa system.

1. Na przyszłość, Chrome ma zintegrowany Adobe Flash we własnych trzewiach i nie jest możliwy taki rodzaj "aktualizacji". Szczegóły aktualizacji Adobe Flash w Chrome w przyklejonym: KLIK. 2. Nie wiadomo co wykrył (ścieżka dostępu) Windows Defender, gdyż nie ma wyników z jego skanu. Natomiast MBAM nie wykrył nic szczególnego i wynikami nie ma się co martwić. Kolizja z elementami Windows Defender (detekcja obiektów w kwarantannie Windows Defender). W raportach nie widać żadnych oznak infekcji. Możesz sobie wykonać tylko mały kosmetyczny skrypt usuwający śmieciarskie zadania "Asystenta kompatybilności" i czyszczący tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0A177D5D-4EFB-4E76-958C-1DE0A9355E08} - System32\Tasks\{3CF73E57-8268-47FD-84CE-CA3B0B663609} => pcalua.exe -a C:\Users\katar\Downloads\R264250.exe -d C:\Users\katar\Downloads Task: {3F123D1C-1E15-4AE5-B529-6175C5FB9691} - System32\Tasks\{9BB75590-461B-46CB-A16E-BCDEED372FE1} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.24.0.104&LastError=12029 Task: {88DCC7D1-D59F-441A-ACB2-F697AF8E0B4C} - System32\Tasks\{BF6CF79A-043D-499E-ADAC-190BFC3A472E} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.24.0.104&LastError=12029 Task: {BAACCC41-EB68-447A-A8A4-23F1817857F3} - System32\Tasks\{7DD794A8-D2EB-4C59-98D2-281928C7F2DA} => pcalua.exe -a C:\Users\katar\AppData\Local\Apps\2.0\BRZBWG1X.WPT\2GJRY8X0.XG5\dell..tion_6d0a76327dca4869_0007.0006_c115ed00279cd90d\Uninstaller.exe -c uninstall EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Wyłącz wszystkie programy ochronne (SpyShelter i inne). Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. Nowe skany FRST zbędne. 3. Wg raportu FRST jeden z plików Windows nie ma sygnatury: R3 WinHttpAutoProxySvc; C:\Windows\system32\winhttp.dll [614400 2016-05-28] (Microsoft Corporation) [brak podpisu cyfrowego] Wykonaj weryfikację sfc /scannow i dostarcz wynikowy przefiltrowany log: KLIK.

Wg Fixog skrypt się wykonał kompletnie, więc nie ma nic do poprawek. Przez SHIFT+DEL (omija Kosz) skasuj C:\FRST oraz FRST i jego logi z folderu D:\Firefox Download. Na koniec wyczyść foldery Przywracania systemu: KLIK. A te samoistne rebooty (jeśli się powtarzają), to być może sprawa sterownikowo-sprzętowa do diagnostyki w dziale Hardware. W Twoim Dzienniku zdarzeń są tego rodzaju błędy: System errors: ============= Error: (06/17/2016 01:27:45 AM) (Source: Application Popup) (EventID: 56) (User: ) Description: Driver ACPI returned invalid ID for a child device (5).

Czyli wszystko w porządku. Na koniec: 1. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST z dysku oraz sam FRST i jego logi. 2. Skoryguj drobny błąd WMI: KLIK. 3. Wyczyść także foldery Przywracania systemu: KLIK. To wszystko.

Spróbuj oficjalnego usuwacza toolbarów Ask (support AVG kieruje do strony domowej Ask), linkowany na spodzie: KLIK. Jeśli akcja się powiedzie i wejście zniknie z listy, zresetuj ponownie ustawienia Chrome, a potem zrób nowy log FRST (bez Addition i Shortcut).

Prawie wszystko zrobione. Ale nadal widzę: 1. Na liście zainstalowanych AVG SafeGuard by Ask. Czy jest jakiś problem z deinstalacją? 2. Zmodyfikowane przez w/w delikwenta preferencje Chrome. Czy na pewno resetowałeś ustawienia zgodnie z wytycznymi? Chrome: ======= CHR HomePage: Default -> search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms} CHR DefaultSearchKeyword: Default -> search.ask.com CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}

Tego Intela to w ogóle już nie ma w raporcie... Prowadziłeś jakieś zmiany w zainstalowanym oprogramowaniu? Natomiast wskoczył cały zestaw nVidia. Przetestuj więc co się stanie po wyłączeniu rozszerzeń nVidia.

Ten błąd "Failed to update (5)" jakiś czas temu zgłosiłam autorowi, gdyż widziałam go również w jednej z moich wirtualnych maszyn. Niestety nie wiadomo w czym problem. W takiej sytuacji należy ręcznie pobrać FRST. Skrypty pomyślnie wykonane. Jeszcze mi podaj dane jakie polityki GPO są obecnie przetwarzane w systemie, bo nie jest to dostatecznie jasne z raportu FRST. Czyli załaduj na Adminie fixlist.txt o poniższej postaci i dostarcz wynikowy log: CMD: type C:\Windows\System32\GroupPolicy\Machine\Registry.pol A problem WMI nadal mam do przemyślenia.

Poprawki: 1. Otwórz Notatnik i wklej w nim: BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.6.17647.229\TsNetHlpX64.sys [X] CMD: for %i in ("C:\Program Files (x86)\Common Files\Tencent\*.dll") do C:\Windows\SysWOW64\regsvr32.exe /s /u %i C:\Program Files (x86)\Common Files\Tencent C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Tuscioch\AppData\Local\Google\Chrome\User Data\Default C:\Users\Tuscioch\Downloads\sh-remover.exe Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. To jest kwestia tego, że była manipulacja adware w profilach Google Chrome. Odepnij bieżący skrót z paska, przypnij od nowa.

Poboczne działania do wdrożenia: 1. Odinstaluj Logitech Desktop Messenger. To firmowy "śmieć", odpowiedzialny za produkcję newsów. Od razu też zaktualizuj Adobe Flash Player 21 NPAPI, link w przyklejonym: KLIK. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Drobny skrypt kosmetyczny usuwający puste wpisy i czyszczący Temp. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [AO Link Server] => C:\Program Files (x86)\ASUS\AI Suite III\Mobo Connect\ALRun.exe -start HKU\S-1-5-21-3532491921-2668913716-1004277442-1000\...\MountPoints2: {4ea7d54a-d3ed-11e5-a068-806e6f6e6963} - E:\.\Bin\Instv2.exe SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-3532491921-2668913716-1004277442-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe raporty FRST zbędne.

Skrypt FRST wykonany pomyślnie. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST oraz sam FRST i jego logi z folderu G:\Pobrane\Bezpieczeństwo. Wyczyść też foldery Przywracania systemu: KLIK.

Działania do przeprowadzenia: 1. Odinstaluj stare wersje i niepożądany pasek AVG: Adobe Reader XI - Polish, AVG SafeGuard by Ask, Java 8 Update 73. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {155A0695-2487-4686-9531-02F01964564A} - System32\Tasks\TidemarksBullockV2 => Rundll32.exe DisinheritsForeyard.dll,main 7 1 <==== UWAGA Task: {3782123C-5876-4A90-969A-15D25009CD3A} - System32\Tasks\{B950DD57-EC00-4D05-8E23-971D9786E548} => pcalua.exe -a C:\Users\Michał\Downloads\alienshooter_trial.exe -d C:\Users\Michał\Downloads Task: {5B5B2E17-C3B8-471F-9993-418DCF690E80} - System32\Tasks\{F5E9361F-4E96-4181-AF42-CDFADB7D7804} => pcalua.exe -a M:\Gry\Stronghold\autoplay.exe -d M:\Gry\Stronghold Task: {8582D5A8-2CE0-4B4D-9220-CC818A55507A} - System32\Tasks\{93806613-FBB0-48C8-82BA-CA89EF420E00} => pcalua.exe -a C:\Users\MICHA~1\AppData\Local\Temp\$PowerISO$\setup.exe -d M:\Gry\Stronghold Task: {8F4C386C-5029-4BD1-8B7F-85DDC69CAFD6} - System32\Tasks\Remediation\AntimalwareMigrationTask => C:\Program Files\Common Files\AV\Norton Internet Security\Upgrade.exe [2015-07-27] (Symantec Corporation) Task: {FFCEFF7F-5FA7-48E9-8766-28AFBFE199DA} - System32\Tasks\{0E456BD2-66AB-42D1-B8CC-8B0B9670785F} => pcalua.exe -a "D:\OtherDriver\Intel SCT\Setup.exe" -d "D:\OtherDriver\Intel SCT" -c -s ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku Toolbar: HKLM - Brak nazwy - {41564753-5033-2D53-4700-7A786E7484D7} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {41564753-5033-2D53-4700-7A786E7484D7} - Brak pliku FF DefaultSearchEngine: Yahoo! FF SelectedSearchEngine: Yahoo! R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] S1 prodrv06; \SystemRoot\System32\drivers\prodrv06.sys [X] DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Michał^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.4.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Flvto Youtube Downloader DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions C:\Program Files\Common Files\AV\Norton Internet Security C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Users\Michał\AppData\Local\TidemarksBullock C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Alien Shooter Demo C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder C:\Users\Michał\Desktop\Nowy folder\DVDVideoSoft Free Studio.lnk C:\Windows\pss\OpenOffice.org 2.4.lnk.Startup C:\Windows\System32\Tasks\Remediation EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z przekierowań Ask (od paska AVG): Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzeia trzeba będzie włączyć ponownie. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Ask (o ile widoczna). 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Nie zaznaczaj opcji Lista BCD. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Na temat roli procesu dllhost: KLIK. Nasuwa się pytanie jaki rodzaj plików graficznych / multimedialnych jest w tych folderach do których wchodzisz. Dodatkowo, co to oznacza "komputer się wyłącza", tak jakby odcięto zasilanie czy też automatyczny restart? PS. Nieaktualizowany Windows, stoi stara niewspierana już wersja IE8. Dodatkowo, zmanipulowana aktywacja miernej jakości crackiem (modyfikującym systemowe pliki), Dziennik zdarzeń w kółko męczy błędy wynikające z zastosowania cracka: Dziennik Aplikacja: ================== Error: (06/19/2016 01:01:15 AM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x00000000. Error: (06/19/2016 01:01:15 AM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Wystąpił błąd aktywacji licencji (slui.exe), kod błędu: 0x800401F9 Dziennik System: ============= Error: (06/18/2016 11:01:43 PM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa Ochrona oprogramowania niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 120000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.

Ale upewnij się, że to wszystko co było do instalacji. Po pierwszej rundzie aktualizacji mogą być wykryte kolejne, a potem kolejne. I czy Internet Explorer 11 zosatał pomyślnie wykryty i zainstalowany?

Avira wykryła w katalogu tymczasowym jakieś dwa nie do końca pobrane pliki (*.part), oceniając po nazwie zagrożenia być może był to instalator zawierający adware. Nic czym miałbyś się przejmować. To nie może mieć związku z samoczynnymi restartami.

Kolejne podejście: 1. Odinstaluj stare programy: Adobe AIR, Adobe Reader X (10.1.16) - Polish, Gadu-Gadu 10, McAfee Security Scan Plus, Real Alternative 2.0.1, Tlen.pl, Windows Media Player Firefox Plugin. 2. Skorzystaj z narzędzia SPTDinst, by usunąć odpadkowy sterownik SPTD: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2D4D9BE8-FFB1-46B6-B3F7-EFF1AA762C41} - System32\Tasks\{9D472D73-0427-4065-B5B6-DF464003042A} => pcalua.exe -a C:\Users\oem\Downloads\eMule0.49c-Installer2(dobreprogramy.pl)(4).exe -d "C:\Program Files\Mozilla Firefox" Task: {33E48D0E-74A9-4B9C-9373-3BEE15ECF2D3} - System32\Tasks\{C6FC1C1F-76F9-4A4F-B00B-B715923248BA} => pcalua.exe -a I:\Setup.exe -d I:\ Task: {380A623B-0272-4DD9-B87A-116A35AC290C} - System32\Tasks\Opera D5 => C:\Program Files\Opera\launcher.exe Task: {3AF1A8C9-966F-4B94-97F1-151C7A20E232} - System32\Tasks\{C546E273-D14F-499E-914E-3FD4D6573B5A} => pcalua.exe -a C:\Users\oem\Downloads\eMule0.49c-Installer2(dobreprogramy.pl).exe -d "C:\Program Files\Mozilla Firefox" Task: {4176E6CD-46C2-47E3-882C-D801122242E4} - System32\Tasks\Opera D4 => C:\Program Files\Opera\launcher.exe Task: {45F87CFF-662A-421D-8CC1-3BDBA823D45D} - System32\Tasks\{C38E3714-766D-4059-A10A-3BBCEF7776F8} => Firefox.exe hxxp://www.skype.com/go/downloading?source=installer&ver=7.18.85.111&LastError=-9 Task: {4CCDBA6F-9B98-4541-A6E1-451FA2D7D766} - System32\Tasks\{51F7F487-D4B1-4EF5-9E99-523E488F2BFF} => pcalua.exe -a I:\Setup.exe -d I:\ Task: {557CF935-1175-48E4-9AC3-D8AD8D0352A0} - System32\Tasks\LaunchSignup => C:\Program Files\MyPC Backup\Signup Wizard.exe Task: {652CED9F-ABA2-4258-B80D-2C9D10A0157A} - System32\Tasks\e-pity2012_styczen => H:\Ja\e-pity2012\signxml.exe Task: {7DF65177-6A22-4D8F-81FF-6955C807B369} - System32\Tasks\{D59FFDC8-4173-4841-A1DA-C04A4713D9B5} => pcalua.exe -a C:\Users\oem\Downloads\bgg(dobreprogramy.pl).exe -d "C:\Program Files\Mozilla Firefox" Task: {87286AD1-77AB-474A-8287-04D0C8DE999C} - System32\Tasks\{8591C917-4F77-41E0-8AA2-B7C3B187ED72} => pcalua.exe -a C:\Users\oem\Downloads\eMule0.50a-Installer1_[www.instalki.pl].exe -d "C:\Program Files\Mozilla Firefox" Task: {8CAA4EAB-562C-4588-8204-16AADA32C736} - System32\Tasks\{692D0B9B-8B2A-45F9-9D09-3207B8164D8A} => Firefox.exe hxxp://ui.skype.com/ui/0/7.24.0.104/pl/abandoninstall?page=tsProgressBar Task: {9E73AD72-B6D5-4976-8852-1E4300759302} - System32\Tasks\{BFB11901-9B10-40C0-B2F5-22CF702E2207} => pcalua.exe -a C:\Users\oem\Downloads\7z465(2).exe -d "C:\Program Files\Mozilla Firefox" Task: {ACA175B9-B474-45C2-9B92-1FAEE73906BD} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{F42D1834-37B1-4680-93C9-C5B2374EFB8A}.exe Task: {B568CF89-3CF4-492F-A94A-3B79FB58811E} - System32\Tasks\{31F99992-0242-4F59-9319-CFEC2233E7AE} => pcalua.exe -a C:\PROGRA~1\FREE-D~1.NET\UNWISE.EXE -c C:\PROGRA~1\FREE-D~1.NET\INSTALL.LOG Task: {B6A8A52C-CAE7-4177-9EA3-B9F3B91EDF7B} - System32\Tasks\e-pity2012_kwiecien => H:\Ja\e-pity2012\signxml.exe Task: {C62496AA-7462-40FF-B43E-991E5C4EE519} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{BFC43E12-E489-4B2B-B41E-D8AE6693F88F}.exe Task: {DE3B1303-76B7-4D00-AC96-AB0FFB8730F3} - System32\Tasks\{90CA24E5-0475-45D7-8791-AECB3693AF8E} => pcalua.exe -a "H:\ Files\Edgard\Profesor Henry 6.0 Słownictwo\unins000.exe" Task: {E1E3955D-6403-4CEA-9FFB-1668EE6BE0E4} - \Funmoods -> Brak pliku Task: {E694FDBE-70BD-4AF5-A065-EF49E5B44553} - System32\Tasks\Opera D2 => C:\Program Files\Opera\launcher.exe Task: {F6093EE7-C749-40B4-BD3B-6F3F36C7BA6C} - System32\Tasks\{8604B5C5-8F35-4703-8684-5FC7AD7AA2C6} => pcalua.exe -a C:\Users\oem\Downloads\eMule0.49c-Installer2(dobreprogramy.pl)(2).exe -d "C:\Program Files\Mozilla Firefox" Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{BFC43E12-E489-4B2B-B41E-D8AE6693F88F}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{F42D1834-37B1-4680-93C9-C5B2374EFB8A}.exe S2 AVTasks2; C:\PROGRA~1\ArcaBit\Common\ARCATA~1.EXE [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Plugin: @java.com/DTPlugin,version=10.67.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll [brak pliku] FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku Toolbar: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001 -> Brak nazwy - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - Brak pliku Toolbar: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001 -> Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku Toolbar: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001 -> Brak nazwy - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - Brak pliku Toolbar: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - Brak pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{4DF0C730-DF9D-4AE3-9153-AA6B82E9795A}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> Brak ścieżki do pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\*.* C:\ProgramData\Microsoft\Windows\GameExplorer\{46929376-4A74-45AE-AFE9-58FCE6A836FD} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AC3Filter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BitTorrent (SHAD0W's Experimental) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cafe News C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eMule C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-pity\e-pity 2012.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-pity\e-pity2010.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-pity\Odinstaluj e-pity 2010.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-pity\Odinstaluj e-pity 2012.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grupa IMAGE\Skrzyżowania C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grupa IMAGE\Testy B 2011 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LimeWire C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Projektuj i Kupuj 3D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\oem\AppData\Local\*.dat C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{F4522413-3019-4953-BB55-AD24E7D8E9C0} C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{EFCB1803-5727-4716-B43F-4E7EBBB74EFC} C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{C64D08ED-8FDB-4857-9BF7-301C9F141B57} C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{B4D7F2B2-C966-4A1D-A8BD-68F9DEE7388B} C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{7DC64953-9EF7-44A8-9D73-187E026F4AE6} C:\Users\oem\AppData\Roaming\*.exe C:\Users\oem\AppData\Roaming\AutoUpdate C:\Users\oem\AppData\Roaming\AVG2014 C:\Users\oem\AppData\Roaming\Babylon C:\Users\oem\AppData\Roaming\DAEMON Tools C:\Users\oem\AppData\Roaming\DAEMON Tools Lite C:\Users\oem\AppData\Roaming\Desktopicon C:\Users\oem\AppData\Roaming\eMule C:\Users\oem\AppData\Roaming\F-Secure C:\Users\oem\AppData\Roaming\Funmoods C:\Users\oem\AppData\Roaming\LimeWire C:\Users\oem\AppData\Roaming\Listonosz C:\Users\oem\AppData\Roaming\maxup C:\Users\oem\AppData\Roaming\mystartsearch C:\Users\oem\AppData\Roaming\Onet C:\Users\oem\AppData\Roaming\OpenFM C:\Users\oem\AppData\Roaming\Opera Software C:\Users\oem\AppData\Roaming\pl.com.bebiko.widgetbebiko.35EA91C6F98F4F5A01FBE12E388378AD6D359940.1 C:\Users\oem\AppData\Roaming\Systweak C:\Users\oem\AppData\Roaming\temp C:\Users\oem\AppData\Roaming\TuneUp Software C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gadu-Gadu 10.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gadu-Gadu.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Get OpenOffice.org.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Natalia — skrót (2).lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Natalia — skrót.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Nowy folder (3) — skrót.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\OpenFM.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Pakiet Microsoft Office – 60-dniowa wersja próbna. (*).lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\PITy 2009.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Rockstar Games Social Club (2).lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Rockstar Games Social Club.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\The Settlers7 — skrót.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\zamowienie2a — skrót (2).lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\zamowienie2a — skrót.lnk C:\Users\oem\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\eBay.lnk C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\FLV Player FLV Player.lnk C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\FLV Player Uninstall FLV Player.lnk C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\e-pity.lnk C:\Users\Public\Desktop\AVG 2012.lnk C:\Users\Public\Desktop\e-pity2010.lnk C:\Users\oem\Desktop\Nowy folder (2)\The Settlers7 — skrót.lnk C:\Users\oem\Desktop\Pliki\Continue Image Signature installation.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\roboot.exe C:\Windows\system32\sqlite3.dll CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Do zrobienia nadal: deinstalacja starych wersji, usunięcie poniższych martwych wpisów (a katalog ChromeDefaultData od profilu utworzonego przez adware) i immunizacji Spybota, błędnego wpisu w Hosts. Task: {2A5500BA-79C6-4A48-B62F-136BD63AB579} - System32\Tasks\{7B893153-B703-4B7F-857C-822B036897B7} => pcalua.exe -a C:\Users\Patryk\Desktop\Victoria\vcr446f.exe -d C:\Users\Patryk\Desktop\Victoria Task: {3206CCA4-17E0-4C86-A0D4-8FBCDA729DC4} - System32\Tasks\{FD92FE01-D791-460E-BDCF-8E3F7CA1F566} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe Task: {3E4B5087-3795-45C5-92A0-DF6EC0BEE763} - System32\Tasks\{BF3F76FE-B559-4D29-A703-ACB7B0F56069} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe Task: {5CA38E2F-22D2-4159-A1F1-4110C59CC41A} - System32\Tasks\{B0CA3F82-662B-4985-A0C0-B550972311E2} => pcalua.exe -a G:\TMP\jre-8u71-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {7674B0E9-6FF5-4DCC-8D9B-DD8DEAC23BFA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {873CC182-7F16-42E4-97C0-CB2806AE63D0} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {8E850216-1541-408B-946E-BF39EB73BF74} - System32\Tasks\{0762BD20-39EF-4F8D-8DB0-1D11C7BCC8C0} => pcalua.exe -a C:\PROGRA~2\BDE5SE~1\UNWISE.EXE -c C:\PROGRA~2\BDE5SE~1\INSTALL.LOG Task: {9048EB3F-021C-4CC9-9920-D7EFA08A9451} - System32\Tasks\{6E16FD4B-FB47-40F7-8CEF-0AFEBDAA00CC} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe Task: {A799BB2D-0A5D-4E9B-829B-AB37031CAF55} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\ProgramData\Spybot - Search & Destroy C:\Users\Patryk\AppData\Local\ACCCx2_6_0_393.zip.aamdownload C:\Users\Patryk\AppData\Local\ACCCx2_6_0_393.zip.aamdownload.aamd C:\Users\Patryk\AppData\Local\Google\Chrome\User Data\ChromeDefaultData Hosts: PS. A te "szkodliwe modyfikacje polityk grup" to wyjątkowo nie w tym przypadku. Akurat w tym konkretnym przypadku to jest skutek użycia ComboFix (co widać ogólnie po określonych wpisach w raporcie). Sztucznie dorobił puste klucze. FRST ma tylko ogólną detekcję klucza polityk IE i go wykrywa, pomimo że aktywnych polityk tak naprawdę brak. Temat zamykam.

Logi wstawione. Brakuje pliku fixlog.txt z wynikami przetwarzania skryptu. Nie uruchamiaj przypadkiem skryptu ponownie. Chodzi o log, który już został utworzony przez FRST w katalogu z którego uruchamiałeś FRST. Gdy otrzymam w/w log, przejdę do poprawek. Odpowiadasz mi już w nowym poście.

Jeśli na pewno uruchamiasz Internet Explorer bezpośrednio (a nie pośrednio poprzez jakiś dodatek), a pojawia się ten błąd, to nic tu raczej nie wymyślę i trzeba będzie niestety przejść przez aktualizacje Windows Update w normalny sposób. To oznacza: długie wyszukiwanie (kilka / kilkanaście godzin) oraz obciążenie procesu svchost w momencie procesu wyszukiwania aktualizacji. Obecnie to niestety "normalne". Świeży system Windows 7 z SP1 jest niestety stary, do uzupełnienia są łaty z zakresu 2011-2016 (czyli ogromna ilość), a od końca 2015 znastąpiły zmiany w procesie wyszukiwania aktualizacji dla systemów Windows 7 i Vista, trwa ono znacznie dłużej (przypuszczalnie migracja Microsoftu na słabsze serwery, w związku z koncentracją na nowej infrastrukturze Windows 10).

W raportach nie widzę nic podejrzanego. A nie jest to aby związane z automatyczną aktualizacją Skype? Wg raportu masz włączoną usługę aktualizacji: S2 SkypeUpdate; F:\Skype\Updater\Updater.exe [324224 2016-05-23] (Skype Technologies) PS. Poboczne działania: 1. Odinstaluj stare niebezpieczne wersje: Adobe Flash Player 10 ActiveX, Apple Software Update, Obsługa programów Apple, QuickTime 7. Tak, QuickTime jest obecnie zalecany do deinstalacji, nawet przez Apple, szczegóły w przyklejonym: KLIK. Czas też myśleć o zmianie domyślnej przeglądarki z Opery 12.x. 2. Usunięcie drobnych pustych wpisów, reinstalatorów Avast SafePrice i czyszczenie Tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R3 ALSysIO; \??\C:\Users\Piotr\AppData\Local\Temp\ALSysIO64.sys [X] S3 VBAudioVMVAIOMME; system32\DRIVERS\vbaudio_vmvaio64_win7.sys [X] HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service" FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-05-10] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe raporty FRST zbędne.