picasso

Szukałeś ręcznie a nie za pomocą FRST? Dane pierwszego klucza obciąłeś - z tego klucza usunąć wartość, która kieruje do ścieżki Tencent. Pozostałe klucze w całości usunąć. W przypadku kluczy klas usuwasz całą klasę a nie tylko jej podklucz: HKEY_CLASSES_ROOT\qmgcfiles HKEY_CLASSES_ROOT\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64}

W raportach nie widzę żadnych oznak infekcji. Na jakich stronach (podaj adresy) pojawiają się te "okienka" i co to za okienka - reklamy z Outlookiem, czy masz po prostu na myśli, że otwiera się niespodziewanie zainstalowany Outlook? PS. Na razie doczyść wpisy puste po aktualizacji Windows 7 do Windows 10 i inne pomniejsze drobnostki. Akcja w ogóle nie powiązana z powyższym problemem i w niczym nie pomoże. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath Task: {02AE2600-922F-46CA-AE45-8D7B894F0F67} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {0EE4900F-4909-4EF2-8EFF-BC30C8F4DA86} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe Task: {11A9719A-9F35-4DE1-9928-0585FBA23A80} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe Task: {12019539-96E2-4ABC-BC00-3CEABF0D94A9} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {171B2069-58FA-4FF9-8AA0-BA2204D30E10} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {1778E0B5-C8D5-472B-8BD6-209C01A7FC1C} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe Task: {19D324C4-C70C-4BBE-934A-EA24F839E549} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {1E2C9D00-6F21-4E8D-B7B9-C30D7017A5F2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {2270C0BA-CB99-47EB-B7DC-EB9B741C2FB3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {22F6AB13-DB42-4718-B188-704D10A1C034} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {37D99D43-2DE6-4783-9B62-185565673CB8} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {39552995-4F15-4A42-A472-D787AEC8E3A3} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {49AEA5B6-5358-4203-947B-FF75984E59EB} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe Task: {54DB6143-4877-4754-B440-2A46D0CE7C74} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe Task: {5D96DC94-75B0-4222-9A94-626ED3E482B8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {5DA7AF0B-F4B1-4B81-B2D4-23A1A41BB978} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe Task: {5FADF22A-180F-443B-A362-5C99839B5B19} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {75025099-F616-4B34-801B-DDEE69485070} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {80C62DFA-A3A0-493F-830F-DED8757F355E} - System32\Tasks\SidebarExecute => C:\Program Files\Windows Sidebar\sidebar.exe Task: {8653FD09-BDF7-4552-9425-36F0C8A3728A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {919B6997-6FFD-4031-997E-1A06950889C7} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe Task: {9B4C2C04-FE7B-4595-89CE-4E14F052F3F0} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\WINDOWS\ehome\ehrec.exe Task: {9E24F2DB-AC8F-4B1A-87A4-DDB040DDC720} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {9E2E9363-D366-4409-8BFE-29DFAC9DBC57} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {A22A9E76-45B9-476F-B4C0-8C5047359B0A} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe Task: {A6984108-FA16-426E-A6D7-379C910D3C64} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {B99D8D67-3D3E-493E-946E-806695647829} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe Task: {B9ED34E4-3379-4DD4-8EB6-99015474A34C} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe Task: {BE5D024E-07AF-4975-ADD1-FABFC57BEEC7} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe Task: {E766719C-9021-438D-89F8-77119DA52088} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {EF45B222-90CF-42AD-874B-AD9A11F5EADA} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {EF8E98BF-18D3-4E88-9012-CCD3A3F5C162} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {F151F2FE-6CC7-4163-AA97-D91D2EEB014E} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe Task: {F51C6C20-9762-4BFA-8B00-1149B7D68D01} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {F9008046-E466-48D0-8996-1DEED5DC0A69} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job => C:\Spybot - Search & Destroy\SpybotSD.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center C:\WINDOWS\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Niepożądana strona jest zablokowana przy udziale polityk grup Windows. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3665733845-3348344167-3140621118-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=189 CHR HKU\S-1-5-21-3665733845-3348344167-3140621118-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx HKU\S-1-5-21-3665733845-3348344167-3140621118-1001\...\Policies\Explorer: [] R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S3 WinDivert1.1; C:\ProgramData\KMSAuto\bin\driver\x64WDV\WinDivert.sys [35376 2013-12-03] (Basil Projects) Task: {6F5FC1E8-31FC-4108-8505-F23EE54D8A12} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ADSKAppManager /f C:\extensions C:\Program Files (x86)\Elex-tech C:\ProgramData\KMSAuto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC C:\Users\mat\AppData\Local\Google\Chrome\User Data\Default C:\Users\mat\AppData\Local\MSfree Inc C:\Users\mat\AppData\Roaming\Elex-tech C:\Users\mat\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnk C:\Users\mat\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\YAC.lnk C:\Users\Public\Documents\dmp C:\WINDOWS\AutoKMS C:\WINDOWS\system32\log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Powyższy skrypt odblokuje ustawienia przeglądarki, przeprowadź ogólne czyszczenie ustawień: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy to fałszywe Google i wszystkie inne nierozpoznawane wyszukiwarki. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Z tego co widzę na forum Lenovo rzeczywiście ta seria nie ma takiej opcji. Jeszcze jedna myśl: czy odpięcie tej świeżo dostawionej drukarki (oraz innych zewnętrznych urządzeń) coś wnosi do sprawy? I nic więcej nie przychodzi mi do głowy, poza tym co już powiedziałam. Nie wypowiadasz się nic na temat zrzucenia rejestru za pomocą skryptu FRST, więc wnioskuję, że jeszcze tego nie próbowałeś (?).

Kcurek, nic się nie odzywam, bo nie mam żadnych pomysłów, z danych nic nie wynika. Posiadam identyczne na wirtualnej maszynie XP ze sprawnym instalatorem w wersji 4.5 i nie mam problemów. Toteż jedyne co mi się na razie kojarzy z błędem to aktywność starego Comodo. I nadal nie zostało ustalone czy błąd pojawia się tylko dla tej szczególnej instalacji, czy dla wszystkich opartych na Instalatorze Windows, bo to orientuje perspektywę. Pierwszy z brzegu który można sprawdzić to "Instalator MSI" WTW (dla Administratorów).

DelFix wykonał zadanie. Skasuj z dysku już zbędny plik raportu C:\delfix.txt. To wszystko.

USBFix nie wnosi nic do sprawy - te same wyniki już miałam z komendy DIR. Czyli wydaje się, że wszystko zrobione i możemy kończyć: Pobrany GMER skasuj ręcznie, natomiast resztą zajmie się DelFix. Wyczyść też foldery Przywracania systemu. Na koniec zapuść Windows Update, by dokładnie wyszukał brakujące łaty. Wszystkie akcje rozpisane w tym samym przyklejonym: KLIK.

Fixlog wskazuje, że wszystko zrobione, skróty przeglądarek też naprawione. Nie wiem skąd ten "przestój" pod koniec, ale takie rzeczy się zdarzają przy wdrażaniu komend które wymuszają restart - nie pierwszy raz to widzę. W każdym razie czekam na wyniki szukania Tencent.

To nie jest filtrowany wg wskazówek log (ograniczony do akcji SFC) tylko cały fragment CBS.LOG. Przefiltruj stosowną komendą i podmień załącznik w powyższym poście.

DIR urządzenia nie wskazuje, by były na nim obecnie jakieś pliki infekcji. Czekam więc na rezultat instalacji IE11, czy to rozwiąże problem z niemożnością startu przeglądarki.

Temat przesuwam do Windows, bo tu nie ma żadnego wątku infekcji. Rucek, i tu nie za bardzo na widoku jakieś grube porządki, a nawet nie wiem czy jest sens to drążyć dalej w kontekście 64-bitowego systemu na tych parametrach technicznych, bo jednak poważne ograniczenie to sprzęt i robótki w software nie przyniosą zbyt dużo korzyści / wyraźnej poprawy. System będzie mulił. Spełnione wymagania sprzętowe z kategorii tych minimalnych, które umożliwiają po prostu uruchomienie systemu i podstawową pracę. Kiepsko z RAM - tylko 2GB RAM dla systemu 64-bit. Bardzo mizerna partycja C: (która jest równocześnie całym dyskiem fizycznym) na system 64-bit. Nie potrzeba tu dużo czasu, by pojawiły się problemy z miejscem, wystarczy kilka aktualizacji z Windows Update, by się nieźle zredukowało: Drive c: (OS) (Fixed) (Total:28.36 GB) (Free:12.95 GB) NTFS ==>[system z komponentami startowymi (pozyskano odczytując dysk)] Na takim sprzęcie to ja prędzej widzę "downgrade" systemu, tzn. wymianę na edycję 32-bit, by obniżyć "wymagania". Nie za bardzo te błędy zanalizowałam. Ale te związane z Cortaną to normalna sprawa - Cortana nie jest aktywna na polskich Windows 10 (niedostępna dla tego regionu): KLIK. Prawdopodobnie GMER łapał to: KLIK.

Zabrakło głównego raportu FRST.txt. Uzupełnij. A EmptyTemp: usunęło tylko 1.1 GB, więc potem wdróż diagnostykę SpaceSniffer co i gdzie zżera miejsce.

Akcje pomyślnie wykonane. Zamiennie podaj listę zrobioną za pomocą FRST. Otwórz Notatnik i wklej w nim: CMD: dir /a X:\ Pod X:\ podstaw bieżącą literę pod jaką jest zmapowany pendrive. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wyikowy fixlog.txt. W systemie jest bardzo stara i niewspierana już wersja IE8. Wstępnie zamontuj IE11 z bezpośredniego instalatora: KLIK. Niemniej będzie dużo dodatkowych łat do instalacji z Windows Update...

Problem rozwiązany. Natomiast możesz wykonać drobne korekty poboczne (usunięcie pustych wpisów / skrótów) i czyszczenie Tempów: 1. Odinstaluj stare niebezpieczne wersje (zagrożenie m.in. infekcjami szyfrującymi dane): Adobe Flash Player 18 NPAPI, Adobe Reader 9.5.5, Java 8 Update 25. 2. W Google Chrome zresetuj cache wtyczek, by usunąć puste rekordy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Wersyliusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff [PS. I do usunięcia ręcznie puste skróty - wyszukaj w pliku Shortcut.txt wszystkie wystąpienia frazy "Brak pliku".] 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] HKLM-x32\...\Run: [amd_dc_opt] => C:\Program Files (x86)\AMD\Dual-Core Optimizer\amd_dc_opt.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeInn DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Users\Wersyliusz\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.

Przepraszam, ucięło mi tekst. Tam miało być pod spodem: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

Naprawa usługi Centrum zabezpieczeń oraz włączenie Zapory systemowej: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc] "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 2. Wykonaj skan sfc /scannow i dostarcz wynikowy filtrowany log: KLIK. Ale to potwornie stara wersja 6. Czy używasz jej do obsługi sieci Tlen (rozmowy w tej sieci czy tylko odczyt poczty)? Już prędzej polecam nowoczesny WTW (obsługuje sieć Tlen): KLIK. Lista oprogramowania w przyklejonym: KLIK. Nie mam konkretnych sugestii jakiego antywirusa dobrać, ale nie niszowe rozwiązania. Zwróć też uwagę, że dla Vista jest nieco mniejszy wybór, np. najnowszy darmowy antywirus Sophos nie jest kompatybilny z tym systemem. Natomiast Windows Defender wbudowany w Vista to staroć i bardzo mierne zabezpieczenie, więc to polecam wyłączyć. Ten program ewoluował znacznie i w najnowszych systemach w ogóle nie jest tym co w Vista - w Windows 8 i nowszych jest integrowane ulepszone "Microsoft Security Essentials" brandowane jako "Windows Defender" ze względów historycznych.

Dawno się widzieliśmy! No tak, typowa sprawa z "downloadera", ostatnio prawdziwa plaga. Jeśli chodzi o to "%snf%" to jest to wynik modyfikacji skrótów LNK przeglądarek. Akcja: 1. W Google Chrome: - W rozszerzeniach odinstaluj "krzak" 电脑管家上网防护. - A ten jeden rekord "Brak pliku" w spisie wtyczek (nieprzetwarzalny w Fixie FRST) usuniesz resetując cache: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Zmontuj fixlist.txt o zawartości: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\blood\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\blood\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\blood\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\blood\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% S4 BazisPortableCDBus; system32\drivers\BazisPortableCDBus.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live Reg: reg query HKCU\Environment /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Nastąpi restart. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi tu potrzebne. 3. Na wszelki wypadek jeszcze zrób szukanie w rejestrze na frazę Tencent, tzn. wklep to w polu Szukaj i klik w Szukaj w rejestrze.

Skorzystaj ze specjalnego usuwacza Adobe Reader and Acrobat Cleaner Tool. Po zatwierdzeniu licencji pokaże się kilka wersji narzędzia, pobierasz AcroCleaner for 9.x.

Tak, proszę przeinstaluj je od nowa i podaj czy osłony po tej akcji nadal są wyłączane. Jeśli chodzi o problem "stukania" dysku, to osobna sprawa do działu Hardware. Tam należy podać inne dane do analizy: KLIK.

Jaki model komputera, jaki BIOS? Na teraz nie przychodzi mi do głowy nic innego niż cofnięcie całego rejestru do punktu, gdy system jeszcze startował. Jeśli to nie pomoże, jednak podejrzewam układ dysków jako przyczynę. Ten halt na CLASSPNP.SYS jest częstym objawem trybu pracy dysku. W każdym razie, na teraz spróbuj załadować starszy rejestr z kopii RegBack. Do Notatnika wklej: LastRegBack: 2016-05-07 23:47 Zapisz pod nazwą fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST i klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Wypowiedz się czy są zmiany.

UltraISO nie korzysta z SPTD. W systemie są ślady wskazujące, że na pendrive był robak Brontok. Obecnie jednak infekcja nie jest już aktywna i zostały do wyczyszczenia tylko jej szczątki, a przy okazji inne puste / odpadkowe wpisy. Akcja: 1. Odinstaluj stare niebezpieczne wersje (zagrożenie infekcjami np. szyfrującymi dane): Acrobat.com, Adobe AIR, Adobe Reader 9. 2. Wyczyść cache wtyczek Google Chrome, by pozbyć się martwych wpisów: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Run: [ASRock A-Tuning] => [X] HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Run: [Tok-Cirrhatus] => 0 HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Policies\Explorer: [NoFolderOptions] 1 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" SearchScopes: HKU\S-1-5-21-933518959-968290592-3554862803-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton Internet Security\Engine\21.7.0.11\IPS\IPSBHO.DLL => Brak pliku Toolbar: HKU\S-1-5-21-933518959-968290592-3554862803-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Task: {5A5A36FF-82CB-43DD-8EAB-8FA85AF0C022} - System32\Tasks\AsrAPPShop => C:\Program Files (x86)\ASRock Utility\APP Shop\AsrAPPShop.exe Task: {7C735EB4-AEF9-47AA-BC36-311B157E7B39} - System32\Tasks\{0F5D21E0-7785-4DBE-94A1-22478C066C2E} => pcalua.exe -a "F:\Data PAWEŁ.exe" -d F:\ S3 AsrSetupDrv; \??\C:\Windows\SysWOW64\Drivers\AsrSetupDrv.sys [X] DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Norton C:\Users\Paweł\AppData\Local\*.* CMD: for /d %f in (C:\Users\Paweł\AppData\Local\*bron*) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing przy popdpiętym pendrive. Dołącz też plik fixlog.txt.

W raportach nie widać żadnych oznak infekcji. A jedyne co się łączy z problemem, to ten błąd w Dzienniku zdarzeń: Dziennik System: ============= Error: (05/10/2016 08:53:26 AM) (Source: Microsoft Antimalware) (EventID: 2001) (User: ) Description: Produkt %ZARZĄDZANIE NT60 napotkał błąd podczas próby aktualizacji podpisów. Nowa wersja podpisu: Poprzednia wersja podpisu: 1.219.1074.0 Źródło aktualizacji: %ZARZĄDZANIE NT59 Etap aktualizacji: 4.9.0218.00 Ścieżka źródła: 4.9.0218.01 Typ podpisu: %ZARZĄDZANIE NT602 Typ aktualizacji: %ZARZĄDZANIE NT604 Użytkownik: ZARZĄDZANIE NT\SYSTEM Bieżąca wersja aparatu: %ZARZĄDZANIE NT605 Poprzednia wersja aparatu: %ZARZĄDZANIE NT606 Kod błędu: %ZARZĄDZANIE NT607 Opis błędu: %ZARZĄDZANIE NT608 Pytanie: czy reinstalacja wymienionych programów coś wnosi do sprawy, czy też osłony są od razu deaktywowane?

Czy masz dostęp do konfiguracji routera? Jeśli tak, to dla pewności można będzie zmienić adresy DNS. W obecnej sytuacji punkty Przywracania systemu raczej nie mają tu nic do rzeczy, bo w skanie FRST brak wykrytych jakichkolwiek punktów (pusta lista). A ten zadany przez Rucka SpaceSniffer do zastosowania dopiero po zadanych działaniach, gdyż komenda EmptyTemp: może zmienić statystyki.

Masz na myśli Firefox (widać dobrze modyfikacje adware) czy również świeżo doinstalowany SlimJet (nie jest skanowany przez FRST)? Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare niebezpieczne wersje: Adobe Flash Player 12 ActiveX, Adobe Flash Player 19 NPAPI, Adobe Reader X (10.1.0) - Polish, Adobe Shockwave Player, Java 7 Update 71, Java™ 6 Update 45, Java™ SE Runtime Environment 6, Tlen.pl. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 IhPul; C:\Users\Asia\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [169632 2015-10-10] (TODO: ) S4 vicoqudu; C:\Users\Asia\AppData\Roaming\899F12C0-1436201301-11D8-84B6-001636C8FE49\hnslEFDE.tmp [165376 2015-07-06] () [brak podpisu cyfrowego] S4 zejytose; C:\Users\Asia\AppData\Roaming\899F12C0-1436201301-11D8-84B6-001636C8FE49\jnsqDA0B.tmp [199168 2015-07-06] () [brak podpisu cyfrowego] S4 demeduco; C:\Users\Asia\AppData\Roaming\899F12C0-1436201301-11D8-84B6-001636C8FE49\knslC0EA.tmpfs [X] S4 wscsvc; %SystemRoot%\System32\wscsvc.dll [X] S3 HSXHWAZL; system32\DRIVERS\HSXHWAZL.sys [X] S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X] S2 mdmxsdk; system32\DRIVERS\mdmxsdk.sys [X] S1 Tosrfcom; Brak ImagePath S2 XAudio; system32\DRIVERS\xaudio.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Uedisliwne => ""="service" HKLM\...\Run: [winlogon] => C:\Users\Asia\AppData\Local\Temp\winlogon.bat [80 2016-05-01] () HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\...\Run: [winlogon] => C:\Users\Asia\AppData\Local\Temp\winlogon.bat [80 2016-05-01] () HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\...\Policies\system: [DisableChangePassword] 0 HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\...\Policies\Explorer: [NoLogoff] 0 Startup: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.bat [2015-09-24] () HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450118190&z=c1ada6620acb52b19c8d4fagaz8wbe9g3g0b1o6o2t&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450118190&z=c1ada6620acb52b19c8d4fagaz8wbe9g3g0b1o6o2t&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450118190&z=c1ada6620acb52b19c8d4fagaz8wbe9g3g0b1o6o2t&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450118190&z=c1ada6620acb52b19c8d4fagaz8wbe9g3g0b1o6o2t&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447237251&z=27ce23626eb37582ecd29ccg1z9zfmfo2c0m6oeb4g&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450118190&z=c1ada6620acb52b19c8d4fagaz8wbe9g3g0b1o6o2t&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450118190&z=c1ada6620acb52b19c8d4fagaz8wbe9g3g0b1o6o2t&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447237251&z=27ce23626eb37582ecd29ccg1z9zfmfo2c0m6oeb4g&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1436203932&z=e5b5e800d00755adda873dcgdzdc4q4oeedc0t9cet&from=cmi&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1436203932&z=e5b5e800d00755adda873dcgdzdc4q4oeedc0t9cet&from=cmi&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} SearchScopes: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447237251&z=27ce23626eb37582ecd29ccg1z9zfmfo2c0m6oeb4g&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} SearchScopes: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&ts=1436204050&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&ts=1436204050&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447237251&z=27ce23626eb37582ecd29ccg1z9zfmfo2c0m6oeb4g&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} SearchScopes: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&ts=1436204050&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1436201156&z=2f12145e4892ea57f992afdg2z8ceqboee0gdgfqez&from=2sq1&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447237251&z=27ce23626eb37582ecd29ccg1z9zfmfo2c0m6oeb4g&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447237251&z=27ce23626eb37582ecd29ccg1z9zfmfo2c0m6oeb4g&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447237251&z=27ce23626eb37582ecd29ccg1z9zfmfo2c0m6oeb4g&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\zf3i4r6e6f5o4x.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> -new-tab hxxp://www.mysearch123.com/?type=hp&ts=1445257942&z=1c789fdc7c3bbbd427d9c14g8z9z4weobw8mct3q0b&from=eve&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [brak pliku] FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [brak pliku] Task: {A967E646-4B67-4386-B505-BBE468576B79} - System32\Tasks\{A5776EE5-3169-4ACB-B744-D58865AD7B3E} => pcalua.exe -a "C:\Program Files\Picexa\uninstall.exe" CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{3C4F3BE3-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{3C4F3BE5-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{3C4F3BE7-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{7629CFA2-3FE5-101B-A3C9-08002B2F49FB}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{7629CFA4-3FE5-101B-A3C9-08002B2F49FB}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{F9043C85-F6F2-101A-A3C9-08002B2F49FB}\InprocServer32 -> Brak ścieżki do pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\winlogon DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes AlternateDataStreams: C:\Windows:61938FE9F037BFF0 [50] C:\Program Files\SSFK.exe C:\Program Files\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\GameExplorer\{9D18EE7D-9A67-4648-BE6D-D5484ABB066D} C:\Users\Asia\AppData\Local\Temptable.xml C:\Users\Asia\AppData\Local\Microsoft\Windows\GameExplorer\{236359A9-96F0-4FB7-93BF-A7BCDA870055} C:\Users\Asia\AppData\Roaming\50Sf88cpQXyp6YhFGhjMa5Op C:\Users\Asia\AppData\Roaming\50Sf88cpQXyp6YhFGhjMa5Op.exe C:\Users\Asia\AppData\Roaming\BYAIAMUF C:\Users\Asia\AppData\Roaming\BYAIAMUF.exe C:\Users\Asia\AppData\Roaming\efzomzX1xo393 C:\Users\Asia\AppData\Roaming\efzomzX1xo393.exe C:\Users\Asia\AppData\Roaming\GNOK C:\Users\Asia\AppData\Roaming\GNOK.exe C:\Users\Asia\AppData\Roaming\899F12C0-1436201301-11D8-84B6-001636C8FE49 C:\Users\Asia\AppData\Roaming\TSv C:\Users\Asia\Downloads\New English File Pre-Intermediate\NEF Pre-intermediate MultiROM\data\flash\starttemp.exe.lnk C:\Users\Asia\Links\TV Shows.lnk C:\Users\Asia\Links\zdjecia kwiaty.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowe logi: FRST z opcji Skanuj (Scan) - ponownie z Addition, już bez Shortcut - oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Z raportu nic nie wynika. Jedyne co sugeruje FRST, to że co dopiero była modyfikacja sterownika WinPCap (WPRO_41_2001.sys), ale szczerze wątpię, by miało to znaczenie. Pytania: Czy przed tym ostatnim restartem było jakieś przepinanie dysków? W jakim trybie działa obecnie ten dysk z Windows 7, AHCI czy IDE? To drugie pytanie jest związane z sugestią, by spróbować przestawić tryb na inny niż jest wyasygnowany jako bieżący.