picasso

Podaj spis plików wraz z ich sumami kontrolnymi. W FRST w polu Szukaj wklej co poniżej i klik w Szukaj plików. PresentationFontCache.exe.config

DelFix zrobił co należy. Skasuj plik raportu C:\delfix.txt, a także pobrany GMER. To wszystko. Temat rozwiązany. Zamykam.

Kończymy: Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu z "Nowego folderu" FRST i jego logi. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione. Problemy powinny ustąpić. Końcowe poprawki: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-4224239710-356568986-1269608211-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Aga\AppData\Local\Akamai\netsession_win.exe" S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [192216 2016-05-19] (Malwarebytes) C:\ProgramData\Comodo C:\ProgramData\Malwarebytes C:\Windows\system32\Drivers\MBAMSwissArmy.sys C:\Windows\System32\Tasks\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82} Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany nie są potrzebne.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

W Harmonogramie zadań są szkodniki pochodzące z pakietu adware używającego Privoxy, które dbają o odnawianie modyfikacji proxy. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Adobe Flash Player 10 Plugin (stary i zbędny, to wtyczka dla Firefox który nie jest zainstalowany) oraz Akamai NetSession Interface (zbędny). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {285D4BBE-8CD6-4B8E-9FD8-75C65EF03811} - System32\Tasks\Full Updater => C:\Users\Aga\AppData\Roaming\Full Updater\Full Updater.exe [2016-05-04] () Task: {75394081-8021-4F8E-ACF6-E5435A27353D} - System32\Tasks\Omega Secure Web Cleaner => C:\Program Files (x86)\Omega Secure Web\gtrsecure.exe [2016-05-19] () Task: {7796DE37-D44E-4D51-9DFA-8EBBE40EF610} - System32\Tasks\Full Updater Logon => C:\Users\Aga\AppData\Roaming\Full Updater\Full Updater.exe [2016-05-04] () Task: {904E7540-B860-418C-9D35-652B2F304FFF} - System32\Tasks\{D0A22AC0-AFA7-42E6-9B93-94A3A4E6B6EC} => pcalua.exe -a D:\Gry\Planetside2\Uninstaller.exe Task: {C1113AC6-969D-46E7-8116-64010AD25F72} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe Task: {D0B7291E-9218-4A9E-8B7A-D7970FDA7F5E} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe Task: {D19BA57B-5F91-4AA8-99CA-C35A40BD58F2} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe Task: {D2CE5314-B751-4941-8E93-004AD91E1A39} - System32\Tasks\Alfasistem Memory Job => C:\Program Files (x86)\Alfasistem Memory\ tmjob.exe Task: {DC956988-D81C-4D18-AC86-FC154853E406} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe Task: {E150FB51-2830-4C2F-AE58-0D3C024A4970} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe Task: {F3919DED-9790-4BF6-ABDE-E4DADD83046D} - System32\Tasks\Common Service Job => C:\Program Files (x86)\Common Service\CommonService.exe [2016-05-19] () CustomCLSID: HKU\S-1-5-21-4224239710-356568986-1269608211-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Aga\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku HKLM-x32\...\Run: [] => [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO C:\Program Files (x86)\Alfasistem Memory C:\Program Files (x86)\Common Service C:\Program Files (x86)\Omega Secure Web C:\Program Files (x86)\Security Task Manager C:\Users\Aga\AppData\Local\CrashRpt C:\Users\Aga\AppData\Local\Microsoft Help C:\Users\Aga\AppData\Local\TaskMan.cmd.done C:\Users\Aga\AppData\Local\TaskMan.cmd.errors C:\Users\Aga\AppData\Roaming\Full Updater C:\Users\Aga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Aga\Desktop\CCleaner-13061-dp.exe C:\Users\Aga\Downloads\SecurityTaskManager_Setup.exe C:\Windows\system32\Drivers\*.tmp C:\Windows\SysWOW64\*.tmp C:\Windows\System32\Tasks\COMODO RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Być może SpaceSniffer też nie miał dostępu, a być może są błędy struktury plików. Skoro pliki już odzyskałaś i zabezpieczyłaś (rozumiem, że gdzie indziej niż na pendrive), to proponuję sformatować urządzenie. Jeśli chodzi o Fix FRST, to pomyślnie wykonany. Jeszcze na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Prawie wszystko usunięte. Poprawki: 1. Otwórz Notatnik i wklej w nim: Task: {E2BDC824-485E-44FA-9FFA-F357F4AD0134} - \Softcomp Software Viewer -> No File HKLM\...\Run: [ASUS WebStorage] => C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe HKLM-x32\...\Run: [ASUS Screen Saver Protector] => C:\Windows\AsScrPro.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ADSMTray Google Update Helper (x32 Version: 1.2.183.13 - Google Inc.) Hidden C:\Windows\(÷ś Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Po w/w akcji wpis Google Update Helper powinien się pokazać na liście deinstalacji w Panelu sterowania. Spróbuj go w normalny sposób odinstalować. Poza tym, ominąłeś deinstalację starej niebezpiecznej wersji Adobe Flash Player 10 ActiveX. Spróbuj zastosować narzędzie Cyberlink Cleaner. Wersja dla Power2Go: KLIK. Po użyciu narzędzia sprawdź czy da się normalnie odinstalować Cyberlinka. Jak widoczne powyżej, dobrana alternatywna metoda usuwania. Widzę, że Firefox dodatkowo już zresetowałeś. Czy nadal występują problemy opisane w pierwszym poście? Jeśli tak, to sprawdź jakie rezultaty przyniesie deinstalacja Avast.

vs. Foldery System Volume Information są domyślnie ograniczone przez uprawnienia, a to oznacza także że nie ma dostępu do faktycznego rozmiaru folderu. Uruchom SpaceSniffer. Konieczny prawy klik i "Uruchom jako administrator", by został obliczony ten element. Do skanu wprowadź ścieżkę pendrive. Wyniki zajętości pokazane w SpaceSniffer powinny być różne od tego co widzisz z poziomu eksploratora Windows. Czy on na pewno był "pusty" (może były tam dane tylko ukryte)? Czy mam rozumieć, że ten "pusty" folder usunęłaś? Ja nie widzę obecnie na pendrive żadnych innych danych, więc jeśli były na nim wcześniej jakieś dane (nie wiadomo gdzie), to już tylko soft do odzyskiwania danych. W instrukcji tworzenia raportów FRST było wyraźnie napisane, by nie wyciągać raportów z folderu C:\FRST\Logs, raporty bieżące są tworzone tam skąd uruchamiasz FRST (w tym przypadku folder Pobrane). Brakuje też trzeciego obowiązkowego pliku FRST Shortcut. Ale to sobie już darujmy. System jest zainfekowany adware PriceFountain, przypuszczanie nabytym z dobrychprogramów: KLIK. To nie ma żadnego związku z problemem pendrive, ale wymaga interwencji. Pod tym kątem: 1. Odinstaluj starą wersję Adobe Flash Player 10 ActiveX oraz zbędny program HP Customer Participation Program 13.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {377C3AB5-051C-4370-AAC8-5CCD4ACF38BB} - System32\Tasks\{327C31B6-8F85-31D4-D058-4A3E52DB21AA} => C:\Users\Dawid\AppData\Roaming\{327C3~1\Updater.exe Task: {67F5F982-903C-496A-90A6-4186D3FB1FB2} - System32\Tasks\DawidEditorializersRetrogressV2 => Rundll32.exe ProgrammingCaveator.dll,main 7 1 Task: C:\Windows\Tasks\{327C31B6-8F85-31D4-D058-4A3E52DB21AA}.job => C:\Users\Dawid\AppData\Roaming\{327C3~1\Updater.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy FF NewTab: FF Homepage: hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki FF user.js: detected! => C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\fl2qoffh.default\user.js [2016-03-09] FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1530226690-3561010622-3088273119-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files (x86)\Temp C:\Users\Dawid\AppData\Local\EditorializersRetrogress EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.

Problemem jest proxy pozostawione przez Privoxy, ale zanim przejdę do usuwania proszę dostarcz wszystkie obowiązkowe logi FRST (FRST.txt, Addition.txt i Shortcut.txt), a nie tylko jeden plik. I dostarcz oryginały a nie przeklejanki, tzn. pliki umieszczone za pomocą załączników forum.

Nie widzę załączonych raportów FRST i Fixlog... To rozszerzenie pewnie instalował zewnętrzny pakiet adware, zwykle programy adware instalowane w "downloaderach" są niedostępne w inny sposób.

Log z USBFix to nie wszystko, należy też podać raporty z FRST. Pendrive owszem wykazuje częściowe ślady infekcji, tzn. skrót utworzony przez infekcję, tylko że na pendrive nie ma nic więcej niż folder System Volume Information (od Przywracania systemu): L:\ -> Removable disk # 4 Gb (1 Gb free - 31%) [Lexar] # FAT32 ################## | L:\ - Removable drive (FAT32) | [19/05/2016 - 13:34:02 | N | 1 Ko] - L:\Lexar (4GB).lnk [24/01/2016 - 23:28:18 | D] - L:\System Volume Information Należy usunąć plik Lexar (4GB).lnk (czyli ten skrót), co zlikwiduje błąd rundll, ale nie wiem co się stało z danymi, bo wg raportu nie występuje folder "bez nazwy" w którym powinny być dane przesunięte przez infekcję... Miejsce zajmuje pewnie zawartość System Volume Information. Mówisz, że podpatrywałaś podobne tematy - co konkretnie robiłaś na urządzeniu? Jedyne co mogę wywnioskować z raportu, to że prawdopodobnie uruchomiłaś komendę zdejmowania atrybutów HS, ponieważ wszystkie obiekty na pendrive są widoczne (w normalnych okolicznościach folder System Volume Information jest ukryty).

Po naprawie zmiennej Path ustąpiły rekordy "Brak pliku" i "Nie można uzyskać dostępu do BCD" w raporcie FRST. Prawie wszystkie pozostałe akcje też pomyślnie wykonane. Natomiast nie została wykonana operacja w msconfig, nadal widać multum wyłączonych usług Microsoftu: ==================== MSCONFIG/TASK MANAGER - Wyłączone elementy == MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3 MSCONFIG\Services: AppIDSvc => 3 MSCONFIG\Services: AppMgmt => 3 MSCONFIG\Services: AxInstSV => 3 MSCONFIG\Services: BDESVC => 3 MSCONFIG\Services: BrYNSvc => 3 MSCONFIG\Services: Creative ALchemy AL6 Licensing Service => 3 MSCONFIG\Services: defragsvc => 2 MSCONFIG\Services: dot3svc => 3 MSCONFIG\Services: EFS => 3 MSCONFIG\Services: ehRecvr => 3 MSCONFIG\Services: ehSched => 3 MSCONFIG\Services: FDResPub => 3 MSCONFIG\Services: hkmsvc => 3 MSCONFIG\Services: HomeGroupListener => 3 MSCONFIG\Services: HomeGroupProvider => 3 MSCONFIG\Services: IDriverT => 3 MSCONFIG\Services: IPBusEnum => 3 MSCONFIG\Services: KtmRm => 3 MSCONFIG\Services: lltdsvc => 3 MSCONFIG\Services: MBAMService => 2 MSCONFIG\Services: MozillaMaintenance => 3 MSCONFIG\Services: msiserver => 3 MSCONFIG\Services: PerfHost => 3 MSCONFIG\Services: pla => 3 MSCONFIG\Services: PolicyAgent => 3 MSCONFIG\Services: ProtectedStorage => 3 MSCONFIG\Services: QWAVE => 3 MSCONFIG\Services: RasAuto => 3 MSCONFIG\Services: RasMan => 3 MSCONFIG\Services: SDRSVC => 2 MSCONFIG\Services: SharedAccess => 3 MSCONFIG\Services: SkypeUpdate => 2 MSCONFIG\Services: sppuinotify => 3 MSCONFIG\Services: SstpSvc => 3 MSCONFIG\Services: StorSvc => 3 MSCONFIG\Services: SwitchBoard => 3 MSCONFIG\Services: swprv => 3 MSCONFIG\Services: TapiSrv => 3 MSCONFIG\Services: TBS => 3 MSCONFIG\Services: THREADORDER => 3 MSCONFIG\Services: TrustedInstaller => 3 MSCONFIG\Services: UI0Detect => 3 MSCONFIG\Services: VaultSvc => 3 MSCONFIG\Services: vds => 3 MSCONFIG\Services: VSS => 3 MSCONFIG\Services: W32Time => 3 MSCONFIG\Services: wbengine => 2 MSCONFIG\Services: wcncsvc => 3 MSCONFIG\Services: wercplsupport => 3 MSCONFIG\Services: WwanSvc => 3

Zabrakło nowych raportów:

Do Twojej maszyny powinny być przypisane dwa klucze: OEM_SLP (używany do automatycznej aktywacji systemu z Recovery) oraz COA_SLP (na naklejce). I to ten klucz z naklejki powinien zostać zastosowany przy użyciu zwykłej płyty nie-Recovery. Przy użyciu klucza z naklejki prawdopodobnie trzeba będzie telefonicznie skontaktować się z Microsoftem, by aktywowali system. Podczas samej instalacji systemu można pominąć aktywację i dopiero po zainstalowaniu systemu ją przeprowadzić. Owszem, to nie wygląda normalnie. Nic więcej na tym komunikacie nie było pokazane? Przeklej z dziennika SpyShelter jak dokładnie ta akcja była sformułowana. Czy zezwoliłaś na nią, czy też ją zablokowałaś?

Fixlog pokazuje błąd, bo zapomniałam, że masz rozwalone Zmienne środowiskowe i nie zadziała komenda "reg query" bez pełnej ścieżki. A filtry to na dłoni widać (LowerFilters po usuniętym starym sterowniku pfc.sys uprzednio zgłaszanym w Dzienniku zdarzeń jako niekompatybilny). Kolejne poprawki: 1. W powyższym kluczu pokazanym na obrazku skasuj wartość LowerFilters. 2. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe zaznacz Path i klik w Edytuj. Zastąp widoczny tam ciąg tym blokiem: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SystemRoot%\System32\WindowsPowerShell\v1.0\ Zresetuj system. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut.

Jeśli chodzi o napęd, to pewnie filtry sprzętowe. Dodaj mi skan informacyjny pod tym kątem (zanim przejdę do napraw). Tzn. do Notatnika wklej: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy log fixlog.txt.

Kończymy: Zastosuj DelFix, wyczyść foldery Przywracania systemu, zaktualizuj Adobe Reader (posiadasz wersję Adobe Reader XI 11.0.03). Wszystko opisane tu: KLIK.

Ale ja mówię o tym co jest w spoilerze, czyli: Otwierasz stronę Techbench: https://www.microsoft.com/en-us/software-download/techbench Następnie w Firefox CTRL+SHIFT+K, by otworzyć konsolę. W konsoli na spodzie w linii komend wpisujesz i zatwierdzasz: "zezwalaj na wklejanie" Następnie w linii komend wklejasz kod podany na tej stronie w oknie i zatwierdzasz: https://gist.github.com/revunix/97fb532323a4e66f87ff Odświeżasz stronę Techbench i menu pokaże duży wybór edycji. Wybierasz tę samą którą masz obecnie, czyli Windows 7 Home Premium SP1 (nie wybieraj edycji oznaczonych jako "K" czy "KN"), po potwierdzeniu wyboru pokaże się wybór języka (wybierasz Polish), a następnie linki pobierania (wybierasz edycję 64-bit).

Nie, FRST skanuje tylko i wyłącznie dysk systemowy i w raporcie nic się nie pokaże związanego z zawartością Recovery. Poza tym, partycja Recovery nie zawiera "Windows" w stanie bezpośrednim, tylko spakowany do obrazu instalacyjnego (standardowy WIM lub format niedomyślny stosowany przez danego producenta, obraz może być też podzielony na mniejsze części), który jest zrzucany podczas instalacji. Jak mówiłam, szczerze wątpię w modyfikacje w obrazie Windows, o ile komputer nie został otrzymany w prezencie od tej samej osoby, która Cię prześladuje. To nie jest prosta operacja dla osoby mało zaawansowanej technicznie. Wymagane kroki: skopiowanie obrazu VAIO do edycji, zedytowanie obrazu Windows, wstawienie z powrotem na partycję Recovery i uzgodnienie danych ładowania obrazu (są systemy Recovery które odrzucą obraz nie mający pewnych cech ustalonych na sztywno w dodatkowych plikach Recovery). Przy czym jeszcze ta modyfikacja w obrazie musiałaby być jakaś bardzo szczególna i zrobiona w miejscach nie skanowanych przez FRST, w przeciwnym wypadku po zrzuceniu obrazu z Recovery FRST po prostu by i tak pokazał określone ładowane komponenty. Drążysz tę partycję Recovery. Dla świętego spokoju, by się kategorycznie odczepić od tego wątku, możesz pobrać instalator Windows ze strony Microsoftu (gwarancja braku modyfikacji, poza tym bez bloatware VAIO): https://www.fixitpc.pl/topic/29567-legalne-pobieranie-obrazów-instalacyjnych-windows/. Popatrz na spodzie do spoilera, po zastosowaniu hacku na stronie Techbench w menu będzie bezpośredni pobór obrazu Windows 7 - w razie niejasności mogę podać detale jak to zrobić. Zrobić płytę instalacyjną, podczas instalacji systemu skasować wszystkie partycje (wliczając Recovery) i zainstalować świeży system. Jeśli nadal będą jakieś "śledzenia", to całkowicie wykluczam system operacyjny jako przyczynę. PS. I proszę odpowiedz na nasze pytania.

System jest zainfekowany adware, które używa filtra Privoxy i proxy ładowanego tym filtrem, co wyjaśnia problemy z siecią oraz długie zamykanie systemu (jeden z obiektów siedzi w Harmonogramie zadań). A tak poza tym to możesz wywalić więcej programów Asusa, by ograniczyć ilość ładowanych elementów. Działania do przeprowadzenia: 1. Odinstaluj stare wersje Adobe, zbędny Akamai oraz niepotrzebne programy ASUS. Poniżej lista programów ASUS które można usunąć (o ile nie korzystasz): ==================== Installed Programs ====================== Acrobat.com (Version: 1.6.65 - Adobe Systems Incorporated) Adobe AIR (Version: 19.0.0.213 - Adobe Systems Incorporated) Adobe Flash Player 10 ActiveX (Version: 10.0.42.34 - Adobe Systems Incorporated) Adobe Media Player (Version: 1.8 - Adobe Systems Incorporated) Akamai NetSession Interface (Version: - Akamai Technologies, Inc) ASUS AP Bank (Version: 1.0.0.0 - ASUSTEK) > "sklep" z softem ASUS CopyProtect (Version: 1.0.0015 - ASUS) > zabezpieczenie przed nieautoryzowanym kopiowaniem danych ASUS Data Security Manager (Version: 1.00.0014 - ASUS) > szyfrowanie danych ASUS FancyStart (Version: 1.0.8 - ASUSTeK Computer Inc.) > wymiana grafiki ekranu bootowania ASUS LifeFrame3 (Version: 3.0.20 - ASUS) > zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (Version: 2.5.9 - ASUS) > autoaktualizacja sterowników/BIOS ASUS MultiFrame (Version: 1.0.0021 - ASUS) > system dzielenia okien ASUS Power4Gear Hybrid (Version: 1.1.35 - ASUS) > tweaker zasilania ASUS SmartLogon (Version: 1.0.0008 - ASUS) > logowanie do komputera za pomocą rozpoznawania twarzy ASUS Virtual Camera (Version: 1.0.19 - asus) ASUS WebStorage (Version: 2.0.46.1429 - eCareme Technologies, Inc.) > "dysk wirtualny" (problematyczny i generujący błędy explorer.exe) CyberLink LabelPrint (Version: 2.5.1908 - CyberLink Corp.) CyberLink Power2Go (Version: 6.1.3602c - CyberLink Corp.) Fast Boot (Version: 1.0.5 - ASUS) > Asusowy menedżer startu Windows Live Essentials (Version: 14.0.8050.1202 - Microsoft Corporation) Windows Live Sign-in Assistant (Version: 5.000.818.6 - Microsoft Corporation) Windows Live Sync (Version: 14.0.8050.1202 - Microsoft Corporation) Windows Live Upload Tool (Version: 14.0.8014.1029 - Microsoft Corporation) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: RemoveProxy: R2 PrivoxyService; C:\Program Files (x86)\Softcomp Software\privoxy.exe [371200 2015-06-02] (The Privoxy team - www.privoxy.org) [File not signed] Task: {7F537B1F-A2B4-4B56-BC74-F7C9FFD0F728} - System32\Tasks\Softcomp Software Viewer => C:\Program Files (x86)\Softcomp Software\swjob.exe [2015-06-02] (SecureSoft) U3 tmlwf; no ImagePath U3 tmwfp; no ImagePath HKU\S-1-5-21-3595127932-1541083318-131603667-1001\...\Run: [AdobeBridge] => [X] HKLM\...\Run: [setwallpaper] => c:\programdata\SetWallpaper.cmd HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3595127932-1541083318-131603667-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki SearchScopes: HKU\S-1-5-21-3595127932-1541083318-131603667-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3595127932-1541083318-131603667-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3595127932-1541083318-131603667-1001 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-3595127932-1541083318-131603667-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKU\S-1-5-21-3595127932-1541083318-131603667-1001 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File FF Homepage: hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki FF NetworkProxy: "type", 5 FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-12-10] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher C:\Program Files (x86)\Mozilla Firefox\distribution C:\Program Files (x86)\Softcomp Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\adam\Desktop\shorts\ControlDeck.lnk C:\Users\adam\Desktop\shorts\Splendid Utility.Lnk C:\Users\adam\Desktop\shorts\syncables desktop SE.lnk C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\UpdatusUser\Desktop\Warcraft III.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Podsumuj jak działa system po naprawach.

Wielkie dzięki za ewentualne dorzucenie do skarbonki. Temat rozwiązany. Zamykam.

Załączyłeś plik Shortcut.txt zamiast Addition.txt... AdwCleaner znalazł sporo odpadków adware. Uruchom program ponownie, po kolei wybierz opcje Skanuj + Usuń. Dostarcz log z wynikami czyszczenia.

Temat przenoszę do działu Windows. Problem zasadniczy nie jest pochodną infekcji. Owszem, w systemie rozmaite źle doczyszczone ślady adware (czym również się zajmę), ale to bez związku. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Name: Urządzenie klawiatury HID Description: Urządzenie klawiatury HID Class Guid: {4d36e96b-e325-11ce-bfc1-08002be10318} Manufacturer: (Klawiatury standardowe) Service: kbdhid Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. vs. ===================== Sterowniki (filtrowane) ========================== S3 kbdhid; C:\Windows\System32\drivers\kbdhid.sys [0 2015-10-30] () Niektóre zerobajtowe pliki/foldery: ========================== C:\Windows\System32\Drivers\kbdhid.sys Uszkodzony plik systemowy. Swoją drogą to jedna z ostatnich akcji 17 maja to Driver Booster zainstalowany z Advanced System Care. Program ten masowo aktualizował sterowniki w systemie. Pomijając to, że sama marka IOBit jest u mnie na czarnej liście (marna reputacja producenta), takie automatyczne aktualizowanie sterowników hurtem może prowadzić do większych kłopotów, bo wcale nie ma gwarancji, że są instalowane tylko te potrzebne i idealnie dobrane. Sterowników nie aktualizuje się przy udziale automatów. Niestety nie posiadasz żadnych punktów Przywracania systemu, by odwrócić zmiany zrobione przez "boostera". Wstępnie: 1. Wykonaj sprawdzanie plików sfc /scannow opisane w artykule na forum: KLIK. Nie musisz filtrować raportu, to wydrukuję sobie w wynikach skryptu FRST w punkcie 3. 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Adobe AIR, Adobe Flash Player 16 NPAPI, Adobe Media Player, Facebook Video Calling 3.1.0.521, Java 7 Update 55, YTD Video Downloader 4.8.8 (adware) i wszystkie programy IOBit. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wfdrvr_vw_1_10_0_25; C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_25.sys [57712 2015-09-30] (WF) R1 wfdrvr_vw_1_10_0_28; C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_28.sys [57712 2015-10-30] (WF) Task: {06C7B280-C73A-4300-AB4D-890254736FFB} - System32\Tasks\{6EA5FA75-A435-4F05-9B32-80D6F0C270C7} => pcalua.exe -a C:\Users\Wacław\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=sof -simple=0 Task: {094E3FC4-B5B6-4DB8-9E21-BB3D9D410DD8} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe Task: {0BBCCF9A-983D-4537-AF25-6C8F292088A4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {1B766A69-6EA7-41F3-8CE6-9E3B1489EBCD} - System32\Tasks\{C12637B1-0695-4CAF-B741-D6C7940DB5D7} => pcalua.exe -a "C:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\Silverlight.Configuration.exe" -c -uninstallApp 3431967327.portal.qtrax.com Task: {23B82FCE-F18D-4E2A-96A7-B9CB1A933BD0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {38738271-1399-4C6C-8058-1F8CAAACD029} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {395924F8-0376-4FE2-B6C3-DE27E1551CBF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {43D7C717-05C9-46C3-B4A0-D70BFE231B9E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {46C3B067-6787-408A-832B-7AEB6153F1DF} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {4A8F3C2F-C6EB-42EE-A6A0-7D0EE6A8913B} - System32\Tasks\{FBD869E0-D6EB-4EBA-8195-68C7241A4EB2} => pcalua.exe -a C:\Users\Wacław\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor Task: {52F299EE-FF33-4B31-91EB-6F7DF1D9C053} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {54FE7E8A-B8BE-4D39-84AC-76333F2BD24A} - \BackgroundContainer Startup Task -> Brak pliku Task: {5B12CFEF-5AF6-4428-AF49-7723D3E4F6AD} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {65529C1A-6151-478C-9BD7-AEAC5C6E7E7D} - System32\Tasks\ASC8_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare 8\Monitor.exe Task: {65F361FE-B9DE-4295-8948-72DD4F3BD1E9} - System32\Tasks\{248C73D1-DF13-43F7-A2FA-040A629596B1} => pcalua.exe -a C:\Users\Wacław\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=smt Task: {78D5701B-531B-44BA-BF54-BDA3B1F6523A} - System32\Tasks\ASC8_SkipUac_Wacław => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe Task: {92E5FC1C-9893-4F4D-98CA-5BB9651DF42E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BF2F3B15-81D2-4592-B996-A305AF67CE32} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe Task: {C1B94AC3-985D-4B5B-8B75-B5CF46551EB9} - System32\Tasks\{97693B34-C697-4AD2-9E9D-DE5065BEB9C9} => pcalua.exe -a C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\uninstall.exe -c /Uninstall /{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /su=6d3732efdbd56826 /um Task: {C2A21F7C-2242-43E6-8ABD-3B19E1ADF150} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {C457335B-DDD7-44B2-8872-6DBC53D4439B} - System32\Tasks\{B8AFE151-6D4D-46ED-9A94-D60BA66F53B4} => pcalua.exe -a "C:\Users\Wacław\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I\GIMP Packages\uninstaller.exe" -c /Uninstall /NM="GIMP Packages" /AN="0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I" /MBN="GIMP Packages" Task: {D74068C1-C508-4093-B7BF-2F0111C88324} - System32\Tasks\DSite => C:\Users\WACAW~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: {E5486E76-6536-4DF4-ABBD-8144BE2AA042} - System32\Tasks\QtraxPlayer => 3431967327.portal.qtrax.com Task: {E94956BB-7649-4AC1-BE72-9A9E177829E8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {F6E085F2-3476-445F-8A67-90E7B3107AFE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {FD116C7B-8D37-468B-A8F1-E542168274AB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {FD5639CB-4DDD-4E75-AE9D-F246F4531E25} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: C:\Windows\Tasks\ASC8_SkipUac_Wacław.job => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe HKU\S-1-5-21-1334447352-3934307352-2162786359-1001\...\Run: [bingSvc] => C:\Users\Wacław\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-04-07] (© 2015 Microsoft Corporation) GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1334447352-3934307352-2162786359-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main SearchScopes: HKU\S-1-5-21-1334447352-3934307352-2162786359-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620A_5QE2SDCCXXXX5QE2SDCC&ts=1433852232&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1334447352-3934307352-2162786359-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620A_5QE2SDCCXXXX5QE2SDCC&ts=1433852232&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1334447352-3934307352-2162786359-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620A_5QE2SDCCXXXX5QE2SDCC&ts=1433852232&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1334447352-3934307352-2162786359-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=dspp&ts=1433852218&z=4df2c7c60aba7c2484f82f9g0zfc5c3b5waofofgaw&from=cor&uid=ST3250620A_5QE2SDCCXXXX5QE2SDCC&q={searchTerms} SearchScopes: HKU\S-1-5-21-1334447352-3934307352-2162786359-1001 -> {62D754A3-3AC8-452C-80A6-B1D3495429FA} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620A_5QE2SDCCXXXX5QE2SDCC&ts=1433852232&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1334447352-3934307352-2162786359-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620A_5QE2SDCCXXXX5QE2SDCC&ts=1433852232&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1334447352-3934307352-2162786359-1001 -> {szukaj.gazeta.pl} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620A_5QE2SDCCXXXX5QE2SDCC&ts=1433852232&type=default&q={searchTerms} BHO-x32: Brak nazwy -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} -> Brak pliku CHR HKU\S-1-5-21-1334447352-3934307352-2162786359-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v KiesAirMessage /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v KiesPreload /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Spybot-S&D Cleaning" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /s C:\Program Files (x86)\Mozilla Firefox C:\Users\Wacław\AppData\Local\Microsoft\BingSvc C:\Users\Wacław\AppData\Local\Mozilla\Firefox C:\Users\Wacław\AppData\Local\Opera Software C:\Users\Wacław\AppData\Roaming\LiveSupport.exe_log.txt C:\Users\Wacław\AppData\Roaming\msregsvv.dll C:\Users\Wacław\AppData\Roaming\regsvr32.exe_log.txt C:\Users\Wacław\AppData\Roaming\Mozilla\Firefox C:\Users\Wacław\AppData\Roaming\Opera Software C:\Users\Wacław\Desktop\Continue Memtest86 installation.lnk C:\Users\Wacław\Links\BUKOWINA — skrót.lnk C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_25.sys C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_28.sys CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Google Chrome jest zainfekowane adware. Przeinstaluj kompletnie wg tych kroków: Zresetuj synchronizację (o ile włączona): KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą wersję Google Chrome. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Ten klucz wstawia do rejestru właśnie szczepionka BitDefender. U mnie po uruchomienie programu także powstały te dwa klucze: HKEY_CURRENT_USER\Software\9BHj2gdsQ0 HKEY_CURRENT_USER\Software\Locky Tak więc wyniki w CCleaner do zignorowania. Prawy klik na ten svchost, opcja Przejdź do usług, potwierdź w podświetlonych wynikach, że figuruje tam pozycja "Windows Update". W raportach brak oznak infekcji, ale są tu owszem rzeczy do interwencji. Widzę pośrednie znaki uszkodzenia zmiennej środowiskowej Path, wyłączone za dużo usług via msconfig (niektóre nie powinny zostać wyłączone), niepoprawnie odinstalowany McAfee, a także inne odpadkowe wpisy, stare 32-bitowe sterowniki programów zewnętrznych blokowane przez system (poniżej błędy z Dziennnika), niekompletnie zaktualizowany system (stoi stara niewspierana już wersja IE10 zamiast IE11). Dziennik System: ============= Error: (05/18/2016 10:10:28 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: nvport Error: (05/18/2016 10:10:17 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\drivers\pfc.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Error: (05/18/2016 10:10:15 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \??\C:\Windows\SysWow64\Drivers\nvport.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Poza tym, masz zainstalowane różne stare programy, a także programy wątpliwej konduity (DLL-Files Fixer i Driver Booster IOBit). Marka IOBit w ogóle nie jest tu polecana ze względu na reputację producenta. Swoją drogą, to ten "Driver Booster" niby w wersji portable, tylko że w Harmonogramie zadań utworzył obiekty rozruchowe (będę je usuwać), co przeczy naturze "portable" (utworzone dodatkowe wpisy rejestru oraz obiekty na dysku poza katalogiem programu). Czyli wstępnie: 1. W msconfig w karcie Usługi odwróć poprzednie działania, tzn. zaznacz odznaczone usługi Microsoftu. 2. Zastosuj McAfee Consumer Product Removal Tool. 3. Odinstaluj stare niebezpieczne wersje Java 7 Update 76 (64-bit), Java 7 Update 76. Natomiast DLL-Files Fixer i Driver Booster "portable" usuń z dysku. 4. W przeglądarkach: - W Firefox w menedżerze dodatków odinstaluj trupa CoolPreviews. Od lat rozszerzenie martwe, nie podpisane cyfrowo i nie będzie akceptowane w najnowszym FF. - W Google Chrome zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Posługujesz się starą wersją FRST z 27-02-2016. Trzeba pobrać ręcznie najnowszą z przyklejonego tematu, gdyż Twoja się samoistnie już nie zaktualizuje (zmiany w linkach aktualizacji, stare wersje FRST nie rozpoznają ich). Po aktualizaji FRST otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 ATITool; C:\Windows\System32\DRIVERS\ATITool64.sys [30720 2006-11-10] () [brak podpisu cyfrowego] S3 GenericMount; C:\Windows\System32\DRIVERS\GenericMount.sys [54320 2009-09-21] (Symantec Corporation) S1 nvport; C:\Windows\SysWOW64\Drivers\nvport.sys [4608 2006-05-05] (NVIDIA Corporation.) [brak podpisu cyfrowego] S3 pfc; C:\Windows\SysWOW64\drivers\pfc.sys [9856 2006-03-29] (Padus, Inc.) [brak podpisu cyfrowego] S3 PortTalk; C:\Windows\SysWOW64\Drivers\PortTalk.sys [3567 2002-01-12] (Beyond Logic hxxp://www.beyondlogic.org) [brak podpisu cyfrowego] S3 cpuz132; \??\C:\Users\Dudek\AppData\Local\Temp\cpuz132\cpuz132_x64.sys [X] Task: {6302761C-F4EE-45B9-848B-B34F8F5F31E5} - System32\Tasks\Driver Booster SkipUAC (Dudek) => D:\IObit Driver Booster Pro\App\Driver Booster\DriverBooster.exe [2015-10-16] (IObit) Task: {7633AB18-18D4-4F40-8954-02A3E73F5347} - System32\Tasks\{DAFCE646-E615-4D45-B7CB-48106FB7974E} => pcalua.exe -a "D:\FreeRapid Downloader\frd.exe" -d "D:\FreeRapid Downloader" Task: {9D308604-70AC-406D-932A-50B0356E7425} - System32\Tasks\Driver Booster Scheduler => D:\IObit Driver Booster Pro\App\Driver Booster\Scheduler.exe [2015-10-16] (IObit) Task: {E2F10B0B-D9A5-4D0C-989D-14E5166C431E} - System32\Tasks\Opera scheduled Autoupdate 1445176897 => D:\Opera\launcher.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service" HKLM-x32\...\Winlogon: [userinit] [X] HKU\S-1-5-21-3109523066-2476599016-3366156518-1000\Software\Classes\.exe: => ProxyServer: [s-1-5-21-3109523066-2476599016-3366156518-1000] => localhost:8080 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RealProtect DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\GUT1BAB.tmp C:\ProgramData\Microsoft\Windows\GameExplorer\{11BCFDD7-21E9-4B70-A512-F56A5066AFEE} C:\ProgramData\Microsoft\Windows\GameExplorer\{8146C1DF-E311-4B6F-B348-3AC31EA1DF60} C:\ProgramData\Microsoft\Windows\GameExplorer\{BA590910-03EC-4F7B-8760-DDB39076496C} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Engelmann Media C:\Users\Dudek\AppData\Local\Microsoft\Windows\GameExplorer\{AFEA67F0-6FAE-4F68-845B-AC6DFF6C4363} C:\Users\Dudek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Cinema HD 2.0.lnk C:\Users\Dudek\Desktop\PROGRAMY\Odtwarzacze\Total Video Player.lnk C:\Windows\System32\Drivers\ATITool64.sys C:\Windows\System32\Drivers\GenericMount.sys C:\Windows\SysWOW64\Drivers\nvport.sys C:\Windows\SysWOW64\Drivers\pfc.sys C:\Windows\SysWOW64\Drivers\PortTalk.sys CMD: netsh advfirewall reset CMD: set EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. O nowy skan FRST to dopiero poproszę po korekcie Path, która się odbędzie na podstawie wyników Fixlog.