picasso

Problem nie jest pochodną infekcji. Temat przenoszę do innego działu, na razie Windows ale być może i do Hardware trafi. 1. Widać że jest tu niekompletne Windows Update. Stoi stara niewspierana już wersja IE9. Czy przypadkiem procesora nie obciąża tu właśnie svchost od Windows Update? Co widać w menedżerze zadań? Jeśli występuje wysokie obciążenie svchost hostującego Windows Update (prawoklik na obciążony svchost > Przejdź do usług > w podświetlonych wynikach m.in. Windows Update), z tym nic nie da się zrobić, dopóki nie ukończy się proces wyszukiwania i instalacji aktualizacji. Jeśli to jednak nie ta wersja wydarzeń, to sprawdź jak sytuacja wygląda na tzw. "czystym rozruchu": KLIK. 2. W raporcie FRST Addition stoi poniższy błąd charakterystyczny dla starych sterowników ATI: Dziennik Aplikacja: ================== Error: (05/22/2016 11:12:38 PM) (Source: ATIeRecord) (EventID: 16398) (User: ) Description: ATI EEU failed to post message to CCC vs. ==================== Zainstalowane programy ====================== ATI Catalyst Install Manager (HKLM\...\{574634E2-87F7-1DC7-082B-483C41E4989E}) (Version: 3.0.816.0 - ATI Technologies, Inc.) Udaj się na stronę AMD (dawne ATI) i wyszukaj aktualizację sterowników.

Nic z tego dla mnie nie wynika, a ten odczyt ze Skype wygląda normalnie. Proponuję wdrożyć tę koncepcję reinstalacji systemu z zupełnie innego nośnika: 1. Na wszelki wypadek obecną partycję Recovery możesz skopiować za pomocą narzędzia typu Macrium Reflect Free na zewnętrzny nośnik. Partycja Recovery jest ogromna, ponad 15 GB. Jeśli masz jakieś inne cenne dane, ewentualnie ręcznie je zachować na dodatkowym nośniku zewnętrznym, ale danych tych nie ładować na świeżym systemie. 2. Przygotować instalatory, które zostaną uruchomione zaraz po świeżej instalacji Windows bez dostępu do internetu. Na osobnym pendrive zapisać następujące instalatory: - Update for Windows 7 for x64-based Systems (KB3125574) - Instaluje prawie wszystkie łaty wydane od czasu SP1 do kwietnia 2016. By pobrać tę paczkę, stronę musisz uruchomić z poziomu Internet Explorer a nie Firefox, podczas jej uruchamiania padnie pytanie o instalację ActiveX, którą należy zatwierdzić, by pokazała się zawartość katalogu. - Internet Explorer 11 (dla systemu 64-bit) - Instalator typu "offline". - Dodatkowe programy zabezpieczające. W kontekście Twojego problemu przede wszystkim program specjalizowany w detekcji loggerów SpyShelter (sugeruję zainwestować w komercyjną wersję Premium lub nawet Firewall), a jeśli nie zdecydujesz się na komercyjny SpyShelter Firewall to prócz SpyShelter dodatkowy firewall np. może to być Comodo Firewall. Programy wyliczane w tym spisie: KLIK. 3. Zrobić nową płytę instalacyjną Windows 7 Home Premium SP1 (x64) z obrazu pobranego z TechBench wg podanych wskazówek. Odpiąć kabel sieciowy / zdeaktywować całkowicie fizyczny dostęp do sieci na czas instalacji systemu oraz jego wstępnej konfiguracji. Podczas instalacji usunąć wszystkie partycje, wliczając Recovery, oraz założyć konto użytkownika o innej nazwie i haśle niż poprzednio. O aktywacji już mówiłam, i przy braku dostępu do sieci trzeba odłożyć ten punkt. 4. Na świeżym systemie: - Bez dostępu do sieci: Z pendrive zainstalować KB3125574 i IE11 oraz programy zabezpieczające. - Podłączyć sieć, skonfigurować jej dane logowania w inny sposób niż poprzednio. - Uruchomić Windows Update i dociągnąć resztę brakujących łat. - Zmienić wszystkie hasła logowania (Skype, konto synchronizacji Firefox, poczta, serwisy społecznościowe i wszelkie inne hasła dostępowe). - Nie kopiować żadnych danych z poprzedniego systemu (np. profilu Firefox, zachowanych gdzieś instalatorów, dokumentów, etc). Nie instalować VPN, HotspotShield ani żadnych innych tego typu wynalazków. Zainstalować tylko niezbędne używane programy pobierając ich instalatory na świeżo.

1. Gdzie leży plik "VirtualMT2", w jakiej ścieżce dostępu? 2. Miałam na myśli, byś spróbował przenieś pobraną grę do tej właśnie krótkiej ścieżki dostępu i podał rezultaty czy ten sam błąd występuje.

Temat założony w niewłaściwym dziale diagnostyki infekcji, to nie jest problem tego rodzaju. Temat przenoszę do działu Hardware na diagnostykę. Dostarcz dane wymagane działem (KLIK) oraz pliki DMP lub ich zdebugowaną już postać (KLIK).

Rucek, one nie są potrzebne przy uBlock (wystarczy manipulacja w filtrach). uBlock ma też filtry Disconnect, które można opcjonalnie załadować. Nawet to ostatnio sprecyzowałam w przyklejonym: https://www.fixitpc.pl/topic/29208-lista-darmowych-i-komercyjnych-programów-zabezpieczających/#entry179658 Chodzi m.in. o to, by ograniczać ilość ładowanych rozszerzeń z nakładającą się funkcjonalnością, by nie "zamulać" przeglądarki bardziej niż potrzebne.

Polecam zastąpić Adblocka + NoScript przez uBlock Origin. To ogólny bloker i może zastąpić też działanie NoScript po wdrożeniu dodatkowej konfiguracji: KLIK.

Pobrałam tę grę, rzeczywiście plik ma taką dziwną nazwą, ale u mnie się uruchamia. Pytania: - Czy ten błąd "nie można odznaleźć pliku" pojawia się TYLKO podczas próby uruchomienia Metka2, czy innych programów też? - Czy błąd występuje po przeniesieniu folderu na dysk D do krótszej ścieżki dostępu: D:\Metek2_pl?

Dokładnie o to mi chodziło. Kiedy ten błąd się pojawia, podczas próby uruchomienia tego pliku ręcznie? Co to w ogóle za paczka "Metek2_pl", skąd pobrana, czy bezpieczna (ten plik exe to dziwnie wygląda)? Jeśli ten błąd występuje tylko podczas uruchomienia tego konkretnego pliku, to nasuwa się że coś jest nie tak z tą paczką, a konkretnie nazwą, która na obrazku zawiera różne dziwne znaki. Czy można ten folder "Metek2_pl" z dysku całkowice usunąć? PS. Wykonaj czynności poboczne nie związane z problemem, tzn. usunięcie określonych programów i adware Bing w starcie oraz Chrome. W spoilerze instrukcje:

Fix FRST wykonany. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST + z Pobranych folder "Farbar Recovery Scan Tool (FRST)" z narzędziem i jego logami. Na koniec wyczyść foldery Przywracania systemu: KLIK. Przypominam o Windows Update - ten proces będzie trwał długo i obciąży tymczasowo procesor (niestety obecnie to "normalne").

Usuwam dwa posty. Proszę nie wklejać logów w poście! Proszę dołączyć trzy oryginalne pliki (FRST.txt, Addition.txt, Shortcut.txt) jako załączniki forum (opcja dostępna w pełnym edytorze).

Na temat używania ComboFix: KLIK. W ogóle nie jest potrzebne jego uruchamianie. Proszę dostarcz raporty z FRST: KLIK.

Na przyszłość: do sprawdzania infekcji służy inny dział (Dział pomocy doraźnej). W raportach nie ma śladów aktywnej infekcji (tylko jeden odpadek adware na liście zainstalowanych i małe śmieci w Chrome). Czyli głównie "kosmetyczne" i poboczne działania do wykonania: 1. Uruchom narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Deinstalacje: - Przez Panel sterowania pozbądź się starych wersji: Facebook Video Calling 3.1.0.521, Java 7 Update 40 - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper opisany jako BonanzaDeals (nie ruszaj tego drugiego z metką "Google Inc.") > Dalej. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Natalia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 nxfvoevz; \??\C:\Windows\system32\drivers\nxfvoevz.sys [X] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2014-06-04] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3001060660-586572579-3893861945-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3001060660-586572579-3893861945-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3001060660-586572579-3893861945-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3001060660-586572579-3893861945-1000 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-3001060660-586572579-3893861945-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> Brak pliku BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre7\bin\ssv.dll => Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll => Brak pliku CHR HomePage: Default -> hxxp://www.msn.com/?pc=AV01 CHR StartupUrls: Default -> "hxxps://www.google.com/?trackid=sp-006" CHR DefaultSearchURL: Default -> hxxps://www.google.de/search?q={searchTerms}?trackid=sp-006 FF Keyword.URL: FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKU\S-1-5-21-3001060660-586572579-3893861945-1000\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi => nie znaleziono C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus C:\Users\Natalia\AppData\Local\BITD307.tmp C:\Users\Natalia\AppData\Local\{7B3662B6-2915-46B2-8023-BAFA801DD9BC} C:\Users\Natalia\AppData\Local\{8FDC570B-138F-4D8B-A265-AFFD60332E08} C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 5. Na dalszą metę kompleksowa aktualizacja Windows - stoi tu stara niespierana już wersja IE8.

Checksur.persist nie jest potrzebny, to archiwalna kopia. Bieżącym logiem jest główny Checksur. Uszkodzenia typu "CSI Manifest Missing" + "CBS MUM Missing" pomyślnie naprawione, zostały rekordy typu "CSI Payload File Missing". Tu musisz poczekać, bo nie mam takich wersji plików w swoich maszynach i muszę je dopiero skołować. Gdy pozyskam pliki, dam znać. I to jest dopiero połowa napraw. Po likwidacji wszystkich usterek notowanych przez Checksur trzeba będzie ponowić skan SFC, by uzyskać świeże wyniki (już bez rekordów o uszkodzonych manifestach) i zająć się resztą naruszeń. Ale to potem, na razie nie rób żadnych skanów SFC.

Tym razem grupa Winsxs weszła. Wyniki wyszukiwania nie były mi potrzebne (w obu Fixlog widać co się działo i gdzie), ale one tylko potwierdzają że wszystkie kopie wyglądają już poprawnie. Czyli skan SFC nie powinien już notować tego uszkodzenia.

Na początek naprawa rekordów z Checksur: 1. Przesyłam pliki potrzebne do naprawy (pliki.zip): KLIK. Wszystkie pliki w katalogu "Manifests" przenieś do katalogu C:\Windows\Temp\CheckSur\WinSxS\Manifests, a te z "Packages" do C:\Windows\Temp\CheckSur\Servicing\Packages. 2. Uruchom ponownie "Narzędzie analizy gotowości aktualizacji systemu". Dostarcz nowy checksur.log do oceny.

Nie podmieniły się instancje w Winsxs. Kolejne podejście, ale z poziomu zewnętrznego środowiska. 1. Przygotuj w Notatniku plik fixlist.txt o treści: CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.23392_none_ae6965c00796eaf8\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.23149_none_aea6739607681656\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.21890_none_ae679c3a079876cb\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.18946_none_ae19fdcaee4cf745\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.17755_none_ae0e4090ee55e5f0\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.17514_none_ae387c2aee366287\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.23392_none_0a880143bff45c2e\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.23149_none_0ac50f19bfc5878c\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.21890_none_0a8637bdbff5e801\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.18946_none_0a38994ea6aa687b\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.17755_none_0a2cdc14a6b35726\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.17514_none_0a5717aea693d3bd\PresentationFontCache.exe.config Pliki fixlist.txt oraz FRST64.exe umieść na pendrive. 2. Uruchom FRST z poziomu WinRE: KLIK. Wybierz opcję Napraw. Na pendrive powstanie plik fixlog.txt. Przedstaw go.

Rzecz jasna nie. Ten plik powinien mieć następujące parametry we wszystkich miejscach: C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe.config [2009-07-14 03:01][2009-06-10 22:30] 0000161 ____A () C0856EC51C8C75B8FDF02C1BBCFE7B93 [Plik podpisany cyfrowo] Przesyłam plik z mojej wirtualnej maszyny x64. Umieść go wprost na C:\. Do Notatnika wklej: Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.23392_none_ae6965c00796eaf8\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.23149_none_aea6739607681656\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.21890_none_ae679c3a079876cb\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.18946_none_ae19fdcaee4cf745\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.17755_none_ae0e4090ee55e5f0\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.17514_none_ae387c2aee366287\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.23392_none_0a880143bff45c2e\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.23149_none_0ac50f19bfc5878c\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.21890_none_0a8637bdbff5e801\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.18946_none_0a38994ea6aa687b\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.17755_none_0a2cdc14a6b35726\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.17514_none_0a5717aea693d3bd\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\assembly\GAC_64\PresentationCore\3.0.0.0__31bf3856ad364e35\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\assembly\GAC_32\PresentationCore\3.0.0.0__31bf3856ad364e35\PresentationFontCache.exe.config Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw. Przedstaw wynikowy fixlog.txt.

Spróbuj jeszcze tego: Opcje internetowe > Zaawansowane > w sekcji Przyśpieszana grafika zaznacz "Użyj renderowania programowego zamiast renderowania GPU" > zresetuj system.

Process Monitor sugeruje to samo co już próbowałam, czyli problem z wartością Config - notowany BUFFER OVERFLOW podczas próby odczytu tej wartości: 12:21:01.3872392 AM svchost.exe 572 RegQueryValue HKLM\System\CurrentControlSet\Control\Network\Config BUFFER OVERFLOW Length: 144 12:21:01.3872500 AM svchost.exe 572 RegQueryValue HKLM\System\CurrentControlSet\Control\Network\Config BUFFER OVERFLOW Length: 144 Spróbuj zresetować ponownie konfigurację: 1. Uruchom regedit i w kluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network skasuj wartość Config. 2. Uruchom Menedżer urządzeń, w menu Widok włącz pokazywanie ukrytych urządzeń. Odinstaluj wszystkie interfejsy sieciowe, wliczając ewentualne "duchy" pokazane po włączeniu opcji ukrytych. 3. Zresetuj system.

Wprawdzie można dalej to drążyć, ale osobiście podjęłabym decyzję o nowej instalacji systemu. To system świeżo po formacie, który nie powinien wykazywać takich cech, nie wiadomo co się stało podczas instalacji, bo objawy na pewno nie mają związku z infekcją.

Na początku mówiłeś, że pokazuje się tam coś od Asusa, czy mam rozumieć, że obecnie komunikat jest ograniczony tylko do "Task Host Window" i nic poza tym? PS. Tego Cyberlinka trzeba będzie usunąć, ale muszę przemyśleć jak to zrobić, skoro nie mogę znaleźć oificjalnego czyściciela.

Tu ogólnie widać uszkodzenia plików związanych z agentem Windows Update - plik niepodpisany cyfrowo oraz parę innych bez sygnatury Microsoftu: S2 wuauserv; C:\Windows\system32\wuaueng.dll [2477536 2014-05-14] () [brak podpisu cyfrowego] (...) 2016-05-20 03:17 - 2014-05-14 18:23 - 02477536 _____ C:\Windows\system32\wuaueng.dll 2016-05-20 03:17 - 2014-05-14 18:23 - 00700384 _____ (Microsoft Corporation) C:\Windows\system32\wuapi.dll 2016-05-20 03:17 - 2014-05-14 18:23 - 00581600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuapi.dll 2016-05-20 03:17 - 2014-05-14 18:23 - 00058336 _____ C:\Windows\system32\wuauclt.exe 2016-05-20 03:17 - 2014-05-14 18:23 - 00044512 _____ C:\Windows\system32\wups2.dll 2016-05-20 03:17 - 2014-05-14 18:23 - 00038880 _____ (Microsoft Corporation) C:\Windows\system32\wups.dll 2016-05-20 03:17 - 2014-05-14 18:23 - 00036320 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wups.dll 2016-05-20 03:17 - 2014-05-14 18:21 - 02620928 _____ C:\Windows\system32\wucltux.dll 2016-05-20 03:17 - 2014-05-14 18:20 - 00097792 _____ (Microsoft Corporation) C:\Windows\system32\wudriver.dll 2016-05-20 03:17 - 2014-05-14 18:17 - 00092672 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wudriver.dll 2016-05-20 03:17 - 2014-05-14 09:23 - 00198600 _____ (Microsoft Corporation) C:\Windows\system32\wuwebv.dll 2016-05-20 03:17 - 2014-05-14 09:23 - 00179656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuwebv.dll 2016-05-20 03:17 - 2014-05-14 09:20 - 00036864 _____ (Microsoft Corporation) C:\Windows\system32\wuapp.exe 2016-05-20 03:17 - 2014-05-14 09:17 - 00033792 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuapp.exe 2016-05-20 03:16 - 2016-05-20 22:04 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information 2016-05-20 03:16 - 2016-05-20 03:16 - 00000000 ____D C:\Users\Archix\Documents\realtek_pcielan_7_mb 2016-05-20 03:16 - 2016-05-20 03:16 - 00000000 ____D C:\Program Files (x86)\Realtek (...) Są następujące punkty Przywracania systemu: ==================== Punkty Przywracania systemu ========================= 20-05-2016 03:16:20 Zainstalowane Realtek Ethernet Controller Driver 20-05-2016 03:17:32 Windows Update 20-05-2016 03:20:20 Windows Update 20-05-2016 03:29:22 Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005 20-05-2016 03:34:01 Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 20-05-2016 03:37:07 Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005 20-05-2016 03:37:38 Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 20-05-2016 22:04:35 Installed Hi-Rez Studios Games 20-05-2016 23:25:22 Installed AVG 2016 20-05-2016 23:25:41 Installed AVG Cofnij system przy udziale najstarszego punktu "Zainstalowane Realtek Ethernet Controller Driver", co powinno odkręcić niekorzystne zmiany podczas felernego Windows Update.

Poproszę o raporty z FRST.

Z opisu wynika, że to nie są skutki infekcji tylko użycia CCleanera. Czy posiadasz kopię zapasową usuniętych wpisów? Bez związku z problemem.

Proponuję jednak sięgać po artykuły źródłowe, w których są precyzyjniejsze sformułowania: Simplifying updates for Windows 7 and 8.1 + KB3125574. Z punktu widzenia instalacji to jest pojedyncza aktualizacja KB3125574. Jeśli rzecz o "niepolecanych dodatkach", w komentarzach pod pierwszym artykułem: A tutaj dodatkowe dane nieoficjalne: