picasso

Zostały obiekty adware PriceFountain w Harmonogramie zadań. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {35860C54-9E99-4B16-BDB3-DAC548FFBB9D} - System32\Tasks\{2070EB4F-6C13-D4BE-DFA6-181DAA9D12FB} => C:\Users\Karinka\AppData\Roaming\PriceFountainUpdateVer\updatetask.exe [2013-04-26] () Task: {8BA6B554-0815-424B-B613-05E51FC8BDAC} - System32\Tasks\KarinkaBelgiumBarographsV2 => Rundll32.exe BrazennessUnfortified.dll,main 7 1 Task: {93D21051-BD04-42E5-99A2-596241579C49} - System32\Tasks\AutoPico Daily Restart => G:\[bakayaroo.com Task: C:\Windows\Tasks\{2070EB4F-6C13-D4BE-DFA6-181DAA9D12FB}.job => HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v PlaysTV /f C:\ProgramData\Temp C:\Users\Karinka\AppData\Roaming\PriceFountainUpdateVer C:\Users\Karinka\Downloads\Stare\GG dysk.lnk C:\Windows\0 C:\Windows\SECOH-QAD.exe C:\Windows\SECOH-QAD.dll C:\Windows\system32\0 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym polem Addition i tylko plik Addition przedstaw. Dołącz też plik fixlog.txt.

Są tu oznaki infekcji routera - poniższy adres jest izraelski. Możesz nie widzieć przekierowań z dwóch przyczyn: komputer działa obecnie z poziomu Twojej niezainfekowanej sieci (inny router) + ktoś już ustawił statyczne DNS Google z poziomu Windows ("przebijają" te pobierane z routera). Właściciel musi rzecz jasna czyścić swój router, nie jesteś tego w stanie zrobić za niego z poziomu Windows. Tcpip\..\Interfaces\{2befaa59-b503-41a5-b440-dbe37f5150d1}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{2c61f513-5bf8-43de-ae23-6e95e8d38452}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{97517553-d50d-4c34-af9e-feb4b699f5e4}: [DhcpNameServer] 82.163.142.7 1. Jeśli ma dostęp do routera, należy się zalogować do niego i wykonać następujące kroki konfiguracyjne: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Czyszczenie bufora DNS oraz działania poboczne. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns S3 DrvAgent64; \??\C:\WINDOWS\SysWOW64\Drivers\DrvAgent64.SYS [X] IE trusted site: HKU\.DEFAULT\...\localhost -> localhost IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com IE trusted site: HKU\S-1-5-21-2779230792-305716697-1430175923-1001\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-2779230792-305716697-1430175923-1001\...\webcompanion.com -> hxxp://webcompanion.com Task: {47B44C56-D165-49F5-91FB-EBD84CFE7623} - System32\Tasks\Norton 360\Norton Autofix => C:\Program Files (x86)\Norton 360\Engine\22.5.5.15\SymErr.exe Task: {836ABB64-4959-4FCA-83C2-2A3E97E4D408} - System32\Tasks\Norton 360\Norton Error Analyzer => C:\Program Files (x86)\Norton 360\Engine\22.5.5.15\SymErr.exe Task: {92A3839B-5D2C-4707-84E8-2B652908F0F9} - System32\Tasks\Norton 360\Norton Error Processor => C:\Program Files (x86)\Norton 360\Engine\22.5.5.15\SymErr.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton 360 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Web Companion" /f C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\Irek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DriverAgent Plus.lnk C:\Windows\System32\Tasks\Norton 360 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Na dostarczonych tu raportach nie da się pracować. Posłużyłeś się potwornie starą wersją FRST pozbawioną wielu nowych skanów i poprawek: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 393 days old and could be outdated) Proszę pobierz najnowszą z przyklejonego i zrób raporty zgodnie z wytycznymi: KLIK.

Działania do przeprowadzenia: 1. Deinstalacje: - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Z prawokliku na plik deinstalacyjny "Uruchom jako Administrator". - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny HP Customer Participation Program 14.0 oraz przestarzały Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe [313936 2016-05-28] (Tencent) U2 QQRepair199a; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair199a [147176 2016-05-28] () S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [147176 2016-05-28] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-05-28] () R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys [184952 2016-05-18] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys [154744 2016-05-28] (电脑管家) R1 softaal; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [44664 2016-05-28] (Tencent) R1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [179320 2016-05-28] () R3 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [99480 2016-05-28] (Tencent) R2 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernelEx64.sys [143992 2016-05-28] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [97400 2016-05-28] (电脑管家) S1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys [28984 2016-05-28] (Tencent) R2 tsnethlpx64; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [57976 2016-05-28] () R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSSysKit64.sys [96888 2016-05-28] (电脑管家) R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S2 Mobizen plugin; C:\Program Files (x86)\RSUPPORT\MobizenService\MobizenService.exe [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Task: {3D2F3D87-7E18-4F2A-B8DB-F10A5608F4C2} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {5C5A34FC-B4C9-4960-88BC-5AF479E7F93F} - System32\Tasks\{035909A7-29D8-4B46-A53A-CC977D8A2718} => pcalua.exe -a "C:\Program Files (x86)\CleanBrowser\uninstall.exe" -c /uninstall Task: {6DC53F09-073E-4BA6-9245-41DB08BBE462} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [svchost.exe -start] => C:\ProgramData\svchost.exe -start HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe [362304 2016-05-28] (Tencent) HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Run: [steelSeries Engine] => C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Sławomir\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Policies\Explorer: [] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4002679962-1221417142-4111111163-1001 -> DefaultScope {A2B28968-4BE4-4676-B599-A1ACEACB737A} URL = SearchScopes: HKU\S-1-5-21-4002679962-1221417142-4111111163-1001 -> {A2B28968-4BE4-4676-B599-A1ACEACB737A} URL = BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSWebMon64.dat [2016-05-28] (Tencent) ShortcutWithArgument: C:\Users\Sławomir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1458982587&a=1024132&src=sh&uuid=da8240f1-0190-4eff-9635-29906549bd17" ShortcutWithArgument: C:\Users\Sławomir\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1458982587&a=1024132&src=sh&uuid=da8240f1-0190-4eff-9635-29906549bd17" AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Anti-Theft DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\*.dll") do regsvr32 /s /u %i CMD: netsh advfirewall reset C:\Program Files\Common Files\Tencent C:\Program Files (x86)\00000000-1464434971-0000-0000-448A5B472DAD C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\Tencent C:\ProgramData\xldl.dll C:\ProgramData\download C:\ProgramData\Tencent C:\ProgramData\Temp C:\ProgramData\Thunder Network C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\Users\Public\Thunder Network C:\Users\Sławomir\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Sławomir\AppData\Local\Driver_LOM_8161Present.flag C:\Users\Sławomir\AppData\Local\Mozilla C:\Users\Sławomir\AppData\Roaming\MCorp C:\Users\Sławomir\AppData\Roaming\Mozilla C:\Users\Sławomir\AppData\Roaming\Tencent C:\Users\Sławomir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Sławomir\Downloads\CodecFix.exe C:\Users\SĹ‚awomir C:\Users\S砤womir C:\Windows\chromebrowser.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\system32\Drivers\TAOKernelEx64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\System32\Tasks\Norton Anti-Theft Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome (deinstalacja MPC zmodyfikuje preferencje przeglądarki): Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Zabrakło raportu FRST Shortcut. Jeśli zaszyfrowane pliki mają rozszerzenie *.crypt, to rzeczywiście nie ma na razie ratunku... Prawdopodobnie zainfekował Cię CryptXXX w wersji 3.0, jest to obecnie nie do odkodowania. Temat na forum: KLIK. To jest kwestia tego, że zainstalowałeś CryptoPrevent, który tworzy ograniczenia zabezpieczające przed uruchomieniem infekcji typu ransom: HKLM Group Policy restriction on software: *.png*.com HKLM Group Policy restriction on software: *.bmp*.bat HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.scr HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.scr HKLM Group Policy restriction on software: *.rar*.com HKLM Group Policy restriction on software: *.ppt*.exe HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.cmd HKLM Group Policy restriction on software: *.wma*.exe HKLM Group Policy restriction on software: *.divx*.cmd HKLM Group Policy restriction on software: %userprofile%\Application Data\*.pif HKLM Group Policy restriction on software: *.xlsx*.com HKLM Group Policy restriction on software: *.wma*.jse HKLM Group Policy restriction on software: *.xls*.bat HKLM Group Policy restriction on software: %userprofile%\*.com HKLM Group Policy restriction on software: *.bmp*.pif HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.bat HKLM Group Policy restriction on software: *.mp3*.bat HKLM Group Policy restriction on software: *.7z*.jse HKLM Group Policy restriction on software: *.png*.jse HKLM Group Policy restriction on software: %userprofile%\*.js HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.bat HKLM Group Policy restriction on software: *.doc*.pif HKLM Group Policy restriction on software: %appdata%\*.pif HKLM Group Policy restriction on software: *.mp3*.exe HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.scr HKLM Group Policy restriction on software: %appdata%\*\*.pif HKLM Group Policy restriction on software: *.ppt*.pif HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.cmd HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.scr HKLM Group Policy restriction on software: *.gif*.cmd HKLM Group Policy restriction on software: %userprofile%\Application Data\*.cmd HKLM Group Policy restriction on software: *.xls*.pif HKLM Group Policy restriction on software: *.jpeg*.cmd HKLM Group Policy restriction on software: *.pub*.scr HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.js HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.bat HKLM Group Policy restriction on software: lsassw86s.exe HKLM Group Policy restriction on software: *.avi*.jse HKLM Group Policy restriction on software: *.txt*.pif HKLM Group Policy restriction on software: *.doc*.scr HKLM Group Policy restriction on software: *.xlsx*.exe HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.bat HKLM Group Policy restriction on software: *.png*.cmd HKLM Group Policy restriction on software: %allusersprofile%\*.com HKLM Group Policy restriction on software: *.jpg*.exe HKLM Group Policy restriction on software: *.7z*.js HKLM Group Policy restriction on software: *.zip*.js HKLM Group Policy restriction on software: syskey.exe HKLM Group Policy restriction on software: *.png*.pif HKLM Group Policy restriction on software: *.xls*.scr HKLM Group Policy restriction on software: *.divx*.pif HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.exe HKLM Group Policy restriction on software: *.divx*.scr HKLM Group Policy restriction on software: *.xlsx*.bat HKLM Group Policy restriction on software: *.rtf*.cmd HKLM Group Policy restriction on software: *.mp4*.exe HKLM Group Policy restriction on software: *.xls*.cmd HKLM Group Policy restriction on software: *.doc*.jse HKLM Group Policy restriction on software: *.wma*.com HKLM Group Policy restriction on software: *.doc*.com HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.exe HKLM Group Policy restriction on software: *.xlsx*.scr HKLM Group Policy restriction on software: *.wma*.bat HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.jse HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.jse HKLM Group Policy restriction on software: *.ppt*.js HKLM Group Policy restriction on software: *.doc*.cmd HKLM Group Policy restriction on software: *.bmp*.jse HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.com HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.exe HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.com HKLM Group Policy restriction on software: *.txt*.com HKLM Group Policy restriction on software: *.xls*.jse HKLM Group Policy restriction on software: C:\Documents and Settings\*.cmd HKLM Group Policy restriction on software: *.zip*.exe HKLM Group Policy restriction on software: *.bmp*.js HKLM Group Policy restriction on software: %appdata%\*.com HKLM Group Policy restriction on software: %userprofile%\Application Data\*.js HKLM Group Policy restriction on software: *.docx*.pif HKLM Group Policy restriction on software: *.doc*.js HKLM Group Policy restriction on software: *.divx*.com HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.exe HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.com HKLM Group Policy restriction on software: *.pub*.exe HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.exe HKLM Group Policy restriction on software: %appdata%\*.jse HKLM Group Policy restriction on software: *.gif*.js HKLM Group Policy restriction on software: *.wav*.js HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.pif HKLM Group Policy restriction on software: *.pptx*.cmd HKLM Group Policy restriction on software: %allusersprofile%\*.exe HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.pif HKLM Group Policy restriction on software: *.wav*.cmd HKLM Group Policy restriction on software: *.txt*.cmd HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.cmd HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.cmd HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.js HKLM Group Policy restriction on software: *.pdf*.jse HKLM Group Policy restriction on software: *.txt*.exe HKLM Group Policy restriction on software: *.png*.bat HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.pif HKLM Group Policy restriction on software: *.doc*.bat HKLM Group Policy restriction on software: *.xlsx*.cmd HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.com HKLM Group Policy restriction on software: *.docx*.js HKLM Group Policy restriction on software: %appdata%\*.bat HKLM Group Policy restriction on software: *.pub*.bat HKLM Group Policy restriction on software: *.pdf*.scr HKLM Group Policy restriction on software: *.png*.exe HKLM Group Policy restriction on software: *.jpg*.js HKLM Group Policy restriction on software: *.jpg*.com HKLM Group Policy restriction on software: *.rar*.jse HKLM Group Policy restriction on software: *.jpeg*.scr HKLM Group Policy restriction on software: *.gif*.exe HKLM Group Policy restriction on software: %appdata%\*\*.jse HKLM Group Policy restriction on software: %allusersprofile%\*.cmd HKLM Group Policy restriction on software: *.rar*.scr HKLM Group Policy restriction on software: *.ppt*.scr HKLM Group Policy restriction on software: C:\Documents and Settings\*.pif HKLM Group Policy restriction on software: *.pdf*.js HKLM Group Policy restriction on software: *.wav*.jse HKLM Group Policy restriction on software: *.docx*.jse HKLM Group Policy restriction on software: *.wmv*.pif HKLM Group Policy restriction on software: *.7z*.com HKLM Group Policy restriction on software: *.wmv*.jse HKLM Group Policy restriction on software: *.ppt*.bat HKLM Group Policy restriction on software: *.txt*.jse HKLM Group Policy restriction on software: %appdata%\*.scr HKLM Group Policy restriction on software: *.pdf*.exe HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.bat HKLM Group Policy restriction on software: *.divx*.jse HKLM Group Policy restriction on software: %userprofile%\*.bat HKLM Group Policy restriction on software: *.pdf*.bat HKLM Group Policy restriction on software: %allusersprofile%\*.bat HKLM Group Policy restriction on software: *.mp3*.cmd HKLM Group Policy restriction on software: *.wav*.scr HKLM Group Policy restriction on software: *.gif*.bat HKLM Group Policy restriction on software: *.avi*.bat HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.bat HKLM Group Policy restriction on software: ** HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.com HKLM Group Policy restriction on software: C:\Documents and Settings\*.js HKLM Group Policy restriction on software: *.7z*.exe HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.js HKLM Group Policy restriction on software: *.jpeg*.com HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.exe HKLM Group Policy restriction on software: *.gif*.scr HKLM Group Policy restriction on software: %userprofile%\*.exe HKLM Group Policy restriction on software: *.bmp*.cmd HKLM Group Policy restriction on software: *.rtf*.scr HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.jse HKLM Group Policy restriction on software: *.7z*.cmd HKLM Group Policy restriction on software: *.jpg*.scr HKLM Group Policy restriction on software: %appdata%\*.exe HKLM Group Policy restriction on software: *.ppt*.jse HKLM Group Policy restriction on software: *.zip*.com HKLM Group Policy restriction on software: *.gif*.com HKLM Group Policy restriction on software: *.rar*.js HKLM Group Policy restriction on software: *.jpg*.bat HKLM Group Policy restriction on software: *.pub*.cmd HKLM Group Policy restriction on software: *.jpg*.jse HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.jse HKLM Group Policy restriction on software: %appdata%\*\*.exe HKLM Group Policy restriction on software: %appdata%\*\*.cmd HKLM Group Policy restriction on software: *.wma*.pif HKLM Group Policy restriction on software: *.pptx*.pif HKLM Group Policy restriction on software: *.ppt*.cmd HKLM Group Policy restriction on software: *.wav*.exe HKLM Group Policy restriction on software: *.wav*.bat HKLM Group Policy restriction on software: *.jpeg*.js HKLM Group Policy restriction on software: *.zip*.jse HKLM Group Policy restriction on software: *.pdf*.com HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.js HKLM Group Policy restriction on software: *.avi*.com HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.cmd HKLM Group Policy restriction on software: *.png*.js HKLM Group Policy restriction on software: %userprofile%\Application Data\*.exe HKLM Group Policy restriction on software: *.rtf*.com HKLM Group Policy restriction on software: *.divx*.js HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.scr HKLM Group Policy restriction on software: *.bmp*.exe HKLM Group Policy restriction on software: C:\Documents and Settings\*.exe HKLM Group Policy restriction on software: *.gif*.jse HKLM Group Policy restriction on software: *.ppt*.com HKLM Group Policy restriction on software: %appdata%\*\*.js HKLM Group Policy restriction on software: *.jpeg*.pif HKLM Group Policy restriction on software: *:\RECYCLER HKLM Group Policy restriction on software: *.bmp*.scr HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.exe HKLM Group Policy restriction on software: *.7z*.bat HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.pif HKLM Group Policy restriction on software: *.xlsx*.pif HKLM Group Policy restriction on software: %allusersprofile%\*.scr HKLM Group Policy restriction on software: *.wma*.js HKLM Group Policy restriction on software: *.gif*.pif HKLM Group Policy restriction on software: *.wmv*.bat HKLM Group Policy restriction on software: %appdata%\*\*.bat HKLM Group Policy restriction on software: *.docx*.scr HKLM Group Policy restriction on software: *.avi*.cmd HKLM Group Policy restriction on software: %appdata%\*.cmd HKLM Group Policy restriction on software: *.pub*.jse HKLM Group Policy restriction on software: *.docx*.exe HKLM Group Policy restriction on software: *.mp3*.pif HKLM Group Policy restriction on software: *.7z*.scr HKLM Group Policy restriction on software: *.divx*.bat HKLM Group Policy restriction on software: *.pptx*.jse HKLM Group Policy restriction on software: *.mp3*.scr HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.exe HKLM Group Policy restriction on software: %userprofile%\*.cmd HKLM Group Policy restriction on software: *.docx*.com HKLM Group Policy restriction on software: *.rar*.cmd HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.bat HKLM Group Policy restriction on software: *.pptx*.exe HKLM Group Policy restriction on software: *.wmv*.js HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.pif HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.js HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.scr HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.com HKLM Group Policy restriction on software: *.mp4*.com HKLM Group Policy restriction on software: scsvserv.exe HKLM Group Policy restriction on software: *.bmp*.com HKLM Group Policy restriction on software: %userprofile%\*.pif HKLM Group Policy restriction on software: %appdata%\*.js HKLM Group Policy restriction on software: *.wma*.cmd HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.jse HKLM Group Policy restriction on software: *.mp4*.js HKLM Group Policy restriction on software: *.7z*.pif HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.bat HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.bat HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.cmd HKLM Group Policy restriction on software: *.pub*.pif HKLM Group Policy restriction on software: *.avi*.pif HKLM Group Policy restriction on software: *.divx*.exe HKLM Group Policy restriction on software: *.rtf*.bat HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.scr HKLM Group Policy restriction on software: *.mp4*.scr HKLM Group Policy restriction on software: *.doc*.exe HKLM Group Policy restriction on software: %userprofile%\*.jse HKLM Group Policy restriction on software: %programdata%\*\svchost.exe HKLM Group Policy restriction on software: C:\Documents and Settings\*.jse HKLM Group Policy restriction on software: lsassvrtdbks.exe HKLM Group Policy restriction on software: *.rar*.pif HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.jse HKLM Group Policy restriction on software: *.wav*.pif HKLM Group Policy restriction on software: *.png*.scr HKLM Group Policy restriction on software: *.jpeg*.bat HKLM Group Policy restriction on software: *.pptx*.com HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.cmd HKLM Group Policy restriction on software: *.jpg*.cmd HKLM Group Policy restriction on software: *.txt*.js HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.js HKLM Group Policy restriction on software: *.xls*.com HKLM Group Policy restriction on software: *.zip*.pif HKLM Group Policy restriction on software: *.zip*.cmd HKLM Group Policy restriction on software: *.pptx*.scr HKLM Group Policy restriction on software: %userprofile%\*.scr HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.cmd HKLM Group Policy restriction on software: %userprofile%\Application Data\*.bat HKLM Group Policy restriction on software: %userprofile%\Application Data\*.jse HKLM Group Policy restriction on software: *.jpeg*.exe HKLM Group Policy restriction on software: vssadmin.exe HKLM Group Policy restriction on software: %userprofile%\Application Data\*.scr HKLM Group Policy restriction on software: *.wav*.com HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.com HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.scr HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.pif HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.js HKLM Group Policy restriction on software: *.txt*.bat HKLM Group Policy restriction on software: %userprofile%\Application Data\Microsoft\Windows\IEUpdate\*.exe HKLM Group Policy restriction on software: *.mp4*.jse HKLM Group Policy restriction on software: *.rar*.bat HKLM Group Policy restriction on software: *.pub*.js HKLM Group Policy restriction on software: *.mp3*.jse HKLM Group Policy restriction on software: *.txt*.scr HKLM Group Policy restriction on software: %appdata%\*\*.com HKLM Group Policy restriction on software: *.wmv*.scr HKLM Group Policy restriction on software: *.xlsx*.js HKLM Group Policy restriction on software: *.wmv*.exe HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.pif HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.scr HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.com HKLM Group Policy restriction on software: *.rtf*.exe HKLM Group Policy restriction on software: *.rtf*.jse HKLM Group Policy restriction on software: %allusersprofile%\*.jse HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.pif HKLM Group Policy restriction on software: *.docx*.bat HKLM Group Policy restriction on software: *.jpeg*.jse HKLM Group Policy restriction on software: *.wmv*.com HKLM Group Policy restriction on software: %systemdrive%\*\svchost.exe HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.jse HKLM Group Policy restriction on software: *.mp4*.pif HKLM Group Policy restriction on software: *.wma*.scr HKLM Group Policy restriction on software: *.zip*.bat HKLM Group Policy restriction on software: *.xls*.js HKLM Group Policy restriction on software: *.pptx*.bat HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.exe HKLM Group Policy restriction on software: %userprofile%\Application Data\*.com HKLM Group Policy restriction on software: *.wmv*.cmd HKLM Group Policy restriction on software: *.pdf*.pif HKLM Group Policy restriction on software: *.rtf*.pif HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.jse HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.js HKLM Group Policy restriction on software: *.mp3*.js HKLM Group Policy restriction on software: *.docx*.cmd HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.cmd HKLM Group Policy restriction on software: *.xls*.exe HKLM Group Policy restriction on software: C:\Documents and Settings\*.bat HKLM Group Policy restriction on software: *.jpg*.pif HKLM Group Policy restriction on software: %allusersprofile%\*.js HKLM Group Policy restriction on software: C:\Documents and Settings\*.scr HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.com HKLM Group Policy restriction on software: *.mp4*.bat HKLM Group Policy restriction on software: *.avi*.exe HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.jse HKLM Group Policy restriction on software: *.rtf*.js HKLM Group Policy restriction on software: *.pdf*.cmd HKLM Group Policy restriction on software: %appdata%\*\*.scr HKLM Group Policy restriction on software: *.xlsx*.jse HKLM Group Policy restriction on software: %programfiles%\*\svchost.exe HKLM Group Policy restriction on software: %allusersprofile%\*.pif HKLM Group Policy restriction on software: *.zip*.scr HKLM Group Policy restriction on software: *.avi*.js HKLM Group Policy restriction on software: *.pptx*.js HKLM Group Policy restriction on software: *.avi*.scr HKLM Group Policy restriction on software: cipher.exe HKLM Group Policy restriction on software: *.mp3*.com HKLM Group Policy restriction on software: *.mp4*.cmd HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.js HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.pif HKLM Group Policy restriction on software: *.pub*.com HKLM Group Policy restriction on software: *.rar*.exe Jedna z tych reguł pokrywa się z lokalizacją z której startujesz uTorrent. Nie zgadza mi się tylko komunikat, gdyż on kieruje do reguły "\Dane aplikacji\*\*.exe", a wg raportu FRST uTorrent siedzi w "Moich dokumentach". Są też dwa skróty do niego, ale nie wiem do której ścieżki kierują (brak raportu FRST Shortcut). 2016-05-26 22:23 - 2016-05-26 22:23 - 02530304 _____ (BitTorrent Inc.) C:\Documents and Settings\Kornik\Moje dokumenty\uTorrent.exe 2016-05-26 22:52 - 2014-12-07 16:26 - 00002641 _____ C:\Documents and Settings\Kornik\Pulpit\µTorrent.lnk 2016-05-26 22:52 - 2014-12-07 16:26 - 00002641 _____ C:\Documents and Settings\Kornik\Menu Start\µTorrent.lnk Spróbuj przenieść uTorrent.exe po prostu na Pulpit.

Rucek, jako Administrator forum mam oczywiście starszą datę rejestracji (tę samą którą wymieniam w poście powyżej) niż reszta, gdyż forum musiało został zostać skonfigurowane i sprawdzone z poziomu mojego konta. Forum nie było dostępne publicznie w tym okresie, prawie tydzień później je włączyłam oficjalnie.

Forum zostało oficjalnie otworzone 27 maja 2010, więc dołączyłeś ekstra szybko . Są wprawdzie moje starsze posty z 21 maja, ale to z fazy, gdy forum było jeszcze w trakcie konfiguracji i nie było dostępne publicznie.

Widzę tu trochę adware (aktywny BingSvc i stare przekierowania key-find.com) oraz elementy martwego Firefoxa, ale to sprawy poboczne. Jest tylko jeden program antywirusowy (Fortinet), Arcabit tylko w nędznych odpadkach, a McAfee to skaner poboczny. "Zmuła" być może od małej ilości wolnego miejsca na dysku: Drive c: (SYSTEM) (Fixed) (Total:98.63 GB) (Free:5.23 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] Aczkolwiek widzę jeszcze serię błędów w Dzienniku: Dziennik Aplikacja: ================== Error: (05/26/2016 12:04:37 PM) (Source: C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe) (EventID: 1) (User: ) Description: C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exeCan't get user token [1008] Dziennik System: ============= Error: (05/26/2016 04:27:37 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą NVIDIA Streamer Service. Error: (05/26/2016 11:56:48 AM) (Source: Microsoft-Windows-TaskScheduler) (EventID: 413) (User: ZARZĄDZANIE NT) Description: Usługa Harmonogram zadań nie może załadować zadań podczas uruchamiania usługi. Dane dodatkowe: Wartość błędu: 2147549183. Error: (05/25/2016 03:43:55 PM) (Source: Microsoft-Windows-HAL) (EventID: 12) (User: ) Description: Oprogramowanie układowe platformy spowodowało uszkodzenie pamięci podczas poprzedniego przejścia do innego trybu zasilania systemu. Sprawdź dostępność zaktualizowanego oprogramowania układowego przeznaczonego do tego systemu. Error: (05/25/2016 02:59:47 PM) (Source: Microsoft-Windows-TaskScheduler) (EventID: 413) (User: ZARZĄDZANIE NT) Description: Usługa Harmonogram zadań nie może załadować zadań podczas uruchamiania usługi. Dane dodatkowe: Wartość błędu: 2147549183. Error: (05/24/2016 11:53:15 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: {F9717507-6651-4EDB-BFF7-AE615179BCCF} Error: (05/24/2016 10:32:42 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi Netman. Error: (05/24/2016 07:32:43 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi IPBusEnum. Błędy NVIDIA Streamer Service doraźnie można ubić wyłączając tę usługę lub deinstalując NVIDIA GeForce Experience 2.0.1 (to jakaś stara wersja z 2014). Błędy Microsoft-Windows-HAL sugerują aktualizację BIOS: KLIK. Błąd z Harmonogramem niejasny, to może być jakieś uszkodzone zadanie w Harmonogramie lub inna usterka Harmonogramu. Wstępnie: 1. Deinstalacje: Przez Panel sterowania: Adobe AIR, Adobe Flash Player 12 Plugin, Adobe Flash Player 13 ActiveX, HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Java 7 Update 17, Java 7 Update 51, Java™ 6 Update 30 (64-bit), Java™ 6 Update 37, McAfee Security Scan Plus, NVIDIA GeForce Experience 2.0.1, QuickTime 7. Usuń ukryty ArcaVir x64 Prerequistes przy udziale narzędzia MS: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ten wpis > Dalej. Usuń sterownik SPTD przy udziale SPTDinst: KLIK. W raportach nie widzę żadnego programu go używającego. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000\...\Run: [bingSvc] => C:\Users\Andrzej\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-05] (© 2015 Microsoft Corporation) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1265772403-1215752451-2071767440-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.key-find.com/web/?type=dspp&ts=1424776336&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&q={searchTerms} HKU\S-1-5-21-1265772403-1215752451-2071767440-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.key-find.com/web/?type=dspp&ts=1424776336&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&q={searchTerms} SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=SK216DF&PC=SK216&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {19E975D4-76AE-4D6E-BBE8-7F972B397368} URL = hxxp://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&ts=1424776383&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = hxxp://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&ts=1424776383&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&ts=1424776383&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = hxxp://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&ts=1424776383&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&ts=1424776383&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = hxxp://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&ts=1424776383&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&ts=1424776383&type=default&q={searchTerms} Toolbar: HKLM - Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku Toolbar: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku Toolbar: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> Brak nazwy - {5C5B9468-D672-4EB7-B52F-B5AFABF28C5B} - Brak pliku Toolbar: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hppp&ts=1424776336&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS" CHR HKU\S-1-5-21-1265772403-1215752451-2071767440-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bpeeepmahhfjiediknjejcmcfmjcjdck] - C:\Program Files (x86)\Google\Chrome\User Data\Default\Extensions\serach.crx CHR HKLM-x32\...\Chrome\Extension: [dkdkpmmkgdbglmfmmmmehbkmnkopingb] - C:\Program Files (x86)\Google\Chrome\User Data\Default\Extensions\v9-toolbar.crx CHR HKLM-x32\...\Chrome\Extension: [jbolfgndggfhhpbnkgnpjkfhinclbigj] - R2 TeamViewer; c:\users\andrzej\appdata\local\temp\teamviewer\TeamViewer_Service.exe [4255504 2015-02-17] (TeamViewer GmbH) S2 mks_services; "C:\Program Files\mks_vir_9\bin\mks_services.exe" [X] Task: {1AA1CEF5-7727-4164-843A-6D586D7DCA85} - System32\Tasks\{ACFC21B4-ABA2-4D9D-AFCC-232C2955BED9} => pcalua.exe -a H:\GSetup.exe Task: {37881D7A-B7EC-4287-BDDC-B6F81306A7F4} - System32\Tasks\{E1C9F213-AF4C-42F6-A2BD-0CD058F34A7F} => Chrome.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/abandoninstall?page=tsMain Task: {41DB3C2B-DAFE-4640-B444-D4C4891784F2} - System32\Tasks\HPCustParticipation HP Deskjet 1050 J410 series => C:\Program Files\HP\HP Deskjet 1050 J410 series\Bin\HPCustPartic.exe [2012-10-02] (Hewlett-Packard Co.) Task: {4DB6478E-2243-47C7-926D-BAFAF9FC1E5F} - System32\Tasks\{CFF4AD88-7116-47EE-A848-3C4A655F737F} => pcalua.exe -a H:\EasySetupAssistant\wr741n\EasySetupAssistant.exe Task: {7AB75A68-4622-40A5-A894-C3129737ED61} - System32\Tasks\SidebarExecute => C:\Program Files (x86)\Windows Sidebar\sidebar.exe [2010-11-20] (Microsoft Corporation) Task: {7C99C2EF-F7DD-4ED1-A6B8-DB29A82C654F} - System32\Tasks\{C782DCA3-533E-4828-867C-41D876CD947F} => pcalua.exe -a C:\Users\Andrzej\Downloads\avira_antivir_premium_en.exe -d C:\Users\Andrzej\Desktop Task: {966967FD-4A33-49E3-A278-503CC02E60EA} - System32\Tasks\{C1724D0D-59C9-49C7-8262-95BD9505BD6D} => pcalua.exe -a "C:\Users\Andrzej\Desktop\WinAvi Video Converter 8.0 [PL]\Polski_WinAvi_Conv(dobreprogramy.pl).exe" -d "C:\Users\Andrzej\Desktop\WinAvi Video Converter 8.0 [PL]" Task: {9B7BDC01-B716-4D04-8079-562CD67BF287} - System32\Tasks\{312BC826-1579-4077-9AE5-BCA069CA10ED} => C:\Users\Andrzej\AppData\Local\Temp\ICReinstall_MediaPlayerSetup.exe Task: {B0FF076C-842C-4133-AE26-82A42568FEBA} - System32\Tasks\{3757F74B-C1D1-4719-9A36-7B305E78E41E} => pcalua.exe -a C:\Users\Andrzej\Downloads\ClonePlus_Update_3600\setup.exe -d C:\Users\Andrzej\Downloads\ClonePlus_Update_3600 Task: {BC43FC41-9B52-4875-B3AD-27A52CFB61CA} - System32\Tasks\{4C3251CC-13EA-4135-B7B5-20F52B4E085A} => pcalua.exe -a C:\Users\Andrzej\Desktop\CT3031817_SFT_Polska.exe -d C:\Users\Andrzej\Desktop IE trusted site: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000\...\internet -> internet DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\4zres.dll C:\Program Files (x86)\4zUninstall VideoDownloadConverter.dll C:\Program Files (x86)\GUT5B1C.tmp C:\Program Files (x86)\GUTF806.tmp C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total Video Converter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XMedia Recode C:\Users\Andrzej\AppData\Local\HamsterVideoConverterSettings.cfg C:\Users\Andrzej\AppData\Local\housecall.guid.cache C:\Users\Andrzej\AppData\Local\{F7B65068-125C-4442-84B2-E04A91A21F86} C:\Users\Andrzej\AppData\Local\Microsoft\BingSvc C:\Users\Andrzej\AppData\Local\Mozilla C:\Users\Andrzej\AppData\Roaming\Mozilla C:\Users\Andrzej\AppData\Roaming\ICSW_1J1F1H1E2Y2Z1P1C1B2W1L1T2ZtJ1V0N1F1C2Z1F1GtAyCtD.txt C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Total Video Player.lnk C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\GG (2).lnk C:\Users\Andrzej\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab Video Player C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton C:\Users\Andrzej\Favorites\V9 - Moja strona startowa - Najlepsza wyszukiwarka w Polsce!.url C:\Users\Public\Downloads\Norton CMD: netsh advfirewall reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Stopify. To jakaś stara wersja, obecnie w Chrome Web Store jest rozszerzenie o innym ID. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystkie niedomyślne elementy. 4. Wyczyść Dziennik zdarzeń. W sekcji Dzienniki systemu Windows opróżnij gałęzie Aplikacja oraz System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Zresetuj system, by zostały nagrane nowe błędy. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

1. AdwCleaner wykrył drobne rzeczy. Uruchom go ponownie, zastosuj po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Skasuj ręcznie pobrany FRST i jego logi z "Nowego folderu" na Pulpicie. Skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Dziś forum Fixitpc.pl obchodzi swoje urodziny! Działamy już 6 lat! Co warte odnotowania: utrzymując pierwotnie założony standard całkowitego braku reklam.

Lunarna, ale to stary log AdwCleaner z 19/02/2016

Nie. FRST skanuje tylko i wyłącznie istniejące obiekty na dysku w predefiniowanych lokalizacjach, nie notuje żadnych operacji usuwania (to niemożliwe do przedstawienia w skanie). FRST tylko tyle potwierdza, że w zakresie czasowym folderu nie ma na Pulpicie. Owszem, Przywracanie systemu wyłączone, więc nie ma magazynu cieniowego i ten trop całkowicie tu odpada. Na wszelki wypadek zapytam: czy w eksploratorze Windows wyszukiwałeś nie tylko na nazwę folderu ale też na przykładową nazwę pliku z tego folderu? Dla świętego spokoju mógłbyś jeszcze uruchomić SpaceSniffer, który pokazuje klikalną mapę dysku, by zweryfikować czy ten folder przypadkiem nie został przelokowany w inne miejsce. Co do Recuva niekoniecznie, już mogło nastąpić "zamazanie" jakimś kolejnym zapisem miejsca na dysku w którym był folder, co powoduje że żaden program do odzyskiwania może nie dać rady wykryć usuniętego obiektu. System od momentu operacji na Pulpicie działał aktywnie, co oznacza że wykonywały się zapisy na dysku i to nie tylko te robione prze Ciebie ręcznie. Takich programów jest chmara, tylko jest tu problem. Masz tylko jedną partycję C, a nie wolno instalować programów do odzyskiwania na tym samym dysku z którego się odzyskuje, ani nic na dysku C nowego zapisywać (wliczając próbę przywrócenia skasowanych danych), bo to redukuje szanse odzysku. Podcinanie gałęzi na której się siedzi. Należałoby wybrać program typu portable nie wymagający instalacji, który zostałby pobrany i uruchomiony z jakiegoś nośnika przenośnego typu pendrive, lub program który działa bezpośrednio z płyty CD. W każdym razie spróbuj tego: podepnij pendrive, zapisz i rozpakuj na nim DMDE. Sprawdź czy program wykrywa ten usunięty folder.

Raporty FRST skonfigurowane w inny sposób niż zalecone: opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. To są detekcje pod określone przypadki i prosi o taki skan prowadzący pomoc, domyślnie te dane tylko pogrubiają raporty i mało co wnoszą do sprawy. Usuwam też nadwyżkowe zbędne logi z E-Peek i FSS. Ogólnie, opisane problemy nie są wynikiem infekcji i temat jedzie do innego działu: Opis wskazuje, że należy szukać w innej sferze a nie systemie operacyjnym, skoro nawet jest problem z wejściem do BIOS. Temat przenoszę do działu Hardware. Dane wymagane działem: KLIK. Dodatkowo dostarcz pliki DMP lub ich już zdebugowaną postać: KLIK. Nawiasem mówiąc wg FRST system reinstalowany bardzo niedawno (2016-04-28 15:17:06). Jeśli on był reinstalowany właśnie po to, by rozwiązać w/w problemy, to dodatkowo klaruje sprawę. Zakładając że te konkretne problemy nie są powiązane z problemem sprzętowym, to być może ma coś do rzeczy ESET Smart Security.

Proszę nie edytuj już pierwszego posta, bo ciąg zdarzeń nie trzyma się kupy, brak materiałów skąd były brane dane. Przywróciłam do pierwszego posta pierwsze usunięte logi, a nowe wstawiłam do powyższego. Kolejne działania = logi w nowych postach. Na przyszłość: trzymaj się też konfiguracji FRST z przyklejonego tu na forum. Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. To są opcje pod określone scenariusze, prosi się o nie w szczególnych okolicznościach, a MD5 sterowników to funkcja niejako "martwa" od kilku lat (skonstruowana była z myślą o bardzo starym wariancie ZeroAccess atakującym sterowniki systemowe) i nie są już nawet uzupełniane sumy kontrolne sterowników. Akcje wykonane. Drobne poprawki w spoilerze:

Po zaznaczeniu opcji pojawiły się nowe dane wskazujące, że są dwa systemy. W BCD są aż dwa odniesienia do winload.exe: Windows Boot Loader ------------------- identifier {710f3369-1f91-4580-b0c8-0950c70d7ab2} device partition=C: path \Windows\system32\winload.exe description Windows 10 locale pl-PL inherit {bootloadersettings} {globalsettings} osdevice partition=C: systemroot \Windows resumeobject {40d2b69e-548f-4c66-96a0-caaeb9c04144} Windows Boot Loader ------------------- identifier {fdc64386-0bc1-11e6-b8c3-94de806b5115} device partition=D: path \Windows\system32\winload.exe description Windows 7 Ultimate locale pl-PL osdevice partition=D: systemroot \Windows resumeobject {13453802-0bbb-11e6-b73f-806e6f6e6963} bootmenupolicy Legacy Skoro rekordy winload.exe Windows 10 są poprawne, to nasuwa się że uszkodzenie tkwi właśnie w Windows 7. Na początek pytanie, które zdefiniuje co robić, czy usuwać wejścia Windows 7 z menedżera rozruchu, czy też próbować sprawdzać pliki winload.exe na innej partycji: czy Windows 7 to aktywny system który też ma się pokazywać w menu startowym? I czy FRST podczas uruchamiania wykrywa dwa systemy i zadaje pytanie który z nich przeskanować?

Temat założony w dziale diagnostyki infekcji, nie jest to właściwy dział dla tego problemu. Przenoszę do działu Windows. Na przyszłość: niekompletny zestaw raportów FRST (brak plików Addition i Shortcut), a log z USBFix zupełnie bezużyteczny w tym kontekście (to tylko analiza root dysków pod kątem infekcji z USB, Pulpit w ogóle nie jest skanowany). FRST pokazuje, że przez ostatni miesiąc na Pulpicie powstały lub odświeżały się tylko takie foldery: ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2016-05-25 18:49 - 2016-05-25 18:50 - 00000000 ____D C:\Users\Sebastian\Desktop\Nowy folder 2016-05-25 18:45 - 2016-05-25 18:46 - 00000000 ____D C:\Users\Sebastian\Desktop\LFC, Schwein 2016-05-25 17:42 - 2016-05-25 17:42 - 00000000 ____D C:\Users\Sebastian\Desktop\Schweini 2016-05-24 17:39 - 2016-05-24 17:44 - 00000000 ____D C:\Users\Sebastian\Desktop\24.05 Koszulki 2016-05-20 18:47 - 2016-05-20 19:29 - 00000000 ____D C:\Users\Sebastian\Desktop\20.05 Koszulki 2016-05-06 16:32 - 2016-05-06 18:06 - 00000000 ____D C:\Users\Sebastian\Desktop\Zdjęcia 6,05 2016-04-29 22:07 - 2016-04-29 22:08 - 00000000 ____D C:\Users\Sebastian\Desktop\Fabregas 2016-04-29 06:02 - 2016-04-29 06:02 - 00000000 ____D C:\Users\Sebastian\Desktop\Einstein ==================== Jeden miesiąc - zmodyfikowane pliki i foldery ======== 2016-05-26 07:57 - 2015-04-05 09:17 - 00000000 ____D C:\Users\Sebastian\Desktop\Filmy Jeśli omyłkowo nie przesunąłeś zaginionego folderu do jednego z nich (lub do innej ścieżki), to raczej wygląda na to, że go rzeczywiście usunąłeś. I w tym przypadku już tylko soft do odzyskiwania danych, którego notabene nie powinno się uruchamiać z tego samego dysku z którego odzyskujesz + ogólnie na dysku w takim przypadku nie powinno się robić żadnych zapisów. Im więcej zapisów bieżących na dysku, tym szanse na odzysk czegokolwiek spadają. Na wszelki wypadek jeszcze sprawdź magazyn kopii cieniowych. Nie podałeś raportu FRST Addition, więc nie ma danych czy są punkty Przywracania systemu oraz z jakiego okresu (wymagany punkt z określonego przedziału czasowego między utworzeniem folderu a dzisiejszymi porządkami). W każdym razie sprawdź co mówi ShadowExplorer. Program pokaże coś w oknie tylko gdy były punkty Przywracania. I jeśli jest punkt z odpowiedniego przedziału czasowego, to przejdź do tej daty w ShadowExplorer do ścieżki Desktop, by sprawdzić czy folder jest w kopii cieniowej (wtedy wystarczy go tylko przekopiować). W przeciwnym wypadku niestety nie ma tu czego szukać.

Na ten temat: KLIK. A ogólnie to nie za duża partycja na system x64, przy założeniu że jeszcze masę programów się na niej instaluje: Drive c: () (Fixed) (Total:55.8 GB) (Free:6.6 GB) NTFS Natomiast do wykonania jeszcze poboczne deinstalacje i czyszczenie śmieci (szczątki adware / wpisy puste). W spoilerze instrukcje:

zbigg47 ta informacja o module przyczynowym MSHTML.dll to już była mi znana od drugiego zestawu FRST Addition. Informacja sama w sobie nic mi nie mówi, a uprzednio sfc /scannow nie wykrył naruszeń. Na początku podejrzewałam KIS, ale wyraźnie stwierdziłeś że kompletna deinstalacja nic nie wniosła do sprawy. Nie było wprawdzie raportów FRST z momentu deinstalacji poświadczającej jej kompletność, ale załóżmy że się wykonała poprawnie. Ten fakt spowodował, że zmieniłam kierunek myślenia na kartę graficzną. Poleciłam przetestować podaną opcję GPU, by sprawdzić wstępnie ten trop. Brak rezultatów. Mam więc pytania: - Na jakich konkretnie stronach wykłada się IE, czy one mają coś wspólnego ze sobą, czy ładują jakiś content video, czy to https://? - Czy na pewno masz zainstalowane wszystkie bieżące aktualizacje z Windows Update? Tutaj ktoś raportuje podobny błąd IE11 i komentuje, że problem ustąpił po instalacji określonych łat, z wymienionych tylko KB3140245 (opcjonalna) ewentualnie wydaje się powiązania z funkcjonowaniem IE11.

Może ten problem wynika z niedomyślnych rozszerzeń eksploratora. Zrób test. Uruchom ShellExView x64. Poprzez klik na kolumnę Company posortuj wpisy, by ułożyć niedomyślne (wyróżnione na różowym tle) w jednym bloku. Z wciśniętym CTRL zaznacz wszystkie różowe, z prawokliku opcja Save Selected Items, by zapisać log, następnie wszystkie zaznaczone wyłącz i zresetuj komputer. Podaj czy jest zmiana oraz doczep wyeksportowany log tekstowy.

Dodam: - Przestępcy co dopiero zaktualizowali swój dekoder i już wysyłają poprawny (do odkodowania najnowszej wersji): KLIK. Ale płacenie okupu nie jest działaniem polecanym. - Widoki na odkodowanie plików narzędziem niemacierzystym są bardzo marne: KLIK / KLIK.

Jak mówię, problemu svchost tu w ogóle nie widzę. Notowane na obrazkach jego użycie pamięci jest mierne: "najgrubszy" ze svchostów zjadł tylko ~18MB pamięci, co nie jest niczym zadziwiającym (u mnie są "grubaski" nawet po 50MB na łeb), a sama liczba w kontekście całkowitej dostępnej pamięci fizycznej jest śmiesznie niska. W menedżerze zadań widać wyraźnie, że najwięcej pamięci zjadła po prostu sama gra - proces GTA pożarł około 3.5 GB, a reszta procesów to drobnica która po zsumowaniu na oko (nie liczyłam tego) nie daje chyba nawet pełnego 1GB. Moim zdaniem jest to problem tej gry. Jeszcze tak zapytam, czy są załadowane jakieś patche w niej, oraz jak masz skonfigurowaną pamięć wirtualną w Windows? W menedżerze zadań jest informacja "97% pamięci fizycznej". Wg FRST zainstalowana pamięć fizyczna ~8GB. Za każdym razem FRST pokazywał niejednakową liczbę dostępnej pamięci fizycznej, skala oscylowała wokół ~5.3 - 6GB dostępnej. Raporty nie pochodzą z momentu uruchomienia gry, czyli w momencie uruchomienia gry prawdopodobne statystyki to: "ta dostępna minus dodatkowa pamięć zajęta przez GTA" i już ciasno się zaczyna robić. Nie wiem czy te błędy były jednorazowe, czy też może będą się powtarzać. Trudno zalecić tu aktualizację sterownika w ciemno, jeśli nie notujesz wyraźnych problemów z urządzeniem.

Na zakończenie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Na koniec zastosuj DelFix. To wszystko.

W raportach konsekwentnie brak oznak infekcji i nie jest ona w ogóle przyczyną bieżących problemów. Jeśli chodzi użycie pamięci, istnieje drugi temat dedykowany zagadnieniu i tam kontynuuj wątek. (posty przeklejone). Od razu tu zaznaczę, że może to być równie dobrze problem sprzętowy lub doładowanych jakiś "patchy" do gry, a problemu svchost to ja wcale nie widzę na obrazkach (wielokrotność procesu to normalna sprawa, a żadne z wystąpień nie wykazuje wysokiego zużycia pamięci, u mnie w systemie są nawet wyższe "numery"). I w FRST Addition pojawiły się błędy wskazuje też na problemy z grafiką: Error: (05/20/2016 07:29:37 PM) (Source: nvlddmkm) (EventID: 13) (User: ) Description: \Device\Video7Graphics Exception: ESR 0x408030=0x80000003 Error: (05/20/2016 07:29:37 PM) (Source: nvlddmkm) (EventID: 13) (User: ) Description: \Device\Video7Graphics Exception: Const out of Bound Załączyłam go poprzednio, bo błędnie go oceniłam jako odpadkowa pochodna instalacji Orbit. Tymczasem teraz sprawdziłam na Google co jeszcze może go tworzyć i wygląda na to, że Far Cry (zainstalowany). Więc go nie będę ruszać ponownie. Odtworzył się też "chiński" plik, być może to też powiązane z którąś grą. Ale to nie ma związku z problemami.

Właśnie w tym skrypcie FRST było planowane usuwanie kwarantanny FRST, ale z jakiegoś nieznanego mi powodu FRST nie mógł jej zlikwidować, dlatego też wystąpił wymuszony restart którego nie miało być... Być może antywirus zablokował akcję. Przejdź w Tryb awaryjny Windows i przez SHIFT+DEL (omija Kosz) spróbuj skasować folder C:\FRST z dysku.