picasso

Zdefiniuj czy ten obciążony svchost.exe hostuje usługę Windows Update: z prawokliku na proces > Przejdź do usług > w podświetlonych wynikach zweryfikuj obecność tej usługi. Jeśli będzie tam Windows Update, to obawiam się że nie za bardzo można "ulżyć" i trzeba przeczekać, aż proces aktualizowania się w pełni ukończy. Co dopiero nadziałam się na to: KLIK. Widać, że tu proces wyszukiwania aktualizacji nie jest ukończony, bo stoi stara wersja Internet Explorer 8. Oceniając po wersji, gruba ilość aktualizacji nadal oczekuje na wyszukiwanie i/lub pobranie.... Ogólnie też od końca 2015 nastąpiły jakieś zmiany w systemie wyszukiwania aktualizacji, trwa ono znacznie dłużej na systemach Windows 7 i Vista. Zdarzyło mi się kilka razy aktualizować systemy Vista znajomych i to był koszmar, kilka dni to zajęło, a procesor spocony jak mysz. Jeśli chodzi o błędy w Dzienniku zdarzeń: Error: (04/28/2016 01:00:38 PM) (Source: Microsoft-Windows-HAL) (EventID: 12) (User: ) Description: Oprogramowanie układowe platformy spowodowało uszkodzenie pamięci podczas poprzedniego przejścia do innego trybu zasilania systemu. Sprawdź dostępność zaktualizowanego oprogramowania układowego przeznaczonego do tego systemu. Prawdopodobnie klaruje się aktualizacja BIOS/firmware. Do wglądu artykuł Technet: KLIK. Error: (04/28/2016 05:02:51 PM) (Source: BugCheck) (EventID: 1001) (User: ) Description: 0x000000d1 (0x00000201, 0x00000002, 0x00000001, 0x8ef55c98)C:\Windows\MEMORY.DMP042816-23961-01 Error: (04/28/2016 04:52:04 PM) (Source: BugCheck) (EventID: 1001) (User: ) Description: 0x000000d1 (0x00000201, 0x00000002, 0x00000001, 0x91963c98)C:\Windows\MEMORY.DMP042816-20826-01 Error: (04/28/2016 11:52:08 AM) (Source: BugCheck) (EventID: 1001) (User: ) Description: 0x000000d1 (0x00000201, 0x00000002, 0x00000001, 0x90569c98)C:\Windows\MEMORY.DMP042816-19437-01 Do analizy pliki DMP (z datą inną niż czas uruchamiania GMER): KLIK. I mimo wszystko sprawdziłabym czy na pewno BSOD będą się powtarzać po ukończeniu instalacji wszystkich dostępnych aktualizacji. Error: (05/02/2016 08:13:37 PM) (Source: Software Protection Platform Service) (EventID: 1012) (User: ) Description: Pozyskanie certyfikatu produktu nie powiodło się. hr=0xC004C003 Identyfikator SKU=cfb3e52c-d707-4861-af51-11b27ee6169c Error: (05/02/2016 08:13:37 PM) (Source: Software Protection Platform Service) (EventID: 8200) (User: ) Description: Szczegóły błędu pozyskiwania licencji. hr=0xC004C003 Nie wiem do czego to podpiąć. Są jakieś widoczne problemy z aktywacją systemu? Error: (05/02/2016 07:26:54 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Bez znaczenia. W ramach "kosmetyki" Dziennika możesz go pozbyć narzędziem Fix-it: KLIK. EDIT: Znów pisałam nie widząc odpowiedzi Groszexxx. Co do: Do zignorowania. Ten rekord powtarza się w wielu moich maszynach VM, masa innych logów na forum też tym dysponuje.

Miałam pełne zaćmienie umysłu. Oczywiście "proces w użyciu", ponieważ jest to konsekwencja uruchomienia FRST (i to bez podejmowania w nim żadnych czynności). Uruchomienie FRST automatycznie montuje pliki SOFTWARE i SYSTEM w rejestrze RE, by FRST mógł je przeskanować. Problem "w użyciu" wystąpi zawsze, gdy zostanie uruchomiony FRST, niezależnie od tego czy zamiana plików jest robiona skryptem FRST czy "z palca". Sprawę już wydedukowałeś. Ten rejestr z Repair, pomimo że powinien być w stanie "czystym", jednak zawiera różne wtórne instalacje, więc ubytków zbyt dużych nie powinieneś notować. Ale notowalna rozbieżność wersji Internet Explorer: FRST wykrywa jako bieżącą wersję archaiczny IE6, przy czym na liście zainstalowanych pozycja "Windows Internet Explorer 8". Poza tym, widać tu błąd charakterystyczny dla naruszonego repozytorium WMI i repozytorium będzie resetowane: Dziennik Aplikacja: ================== Error: (05/02/2016 04:16:44 PM) (Source: SecurityCenter) (EventID: 1802) (User: ) Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy. Zapomniałam wcześniej zapytać jaki był powód uruchamiania SpyHunter, tzn. czy podejrzewałeś jakąś infekcję? W podanych raportach brak oznak czynnej infekcji, widać odpadki po starych adware (adware PriceMInuus w Firefox, ślady po Google Chrome typu "dev" i jakieś inne drobnostki) oraz szczątki SpyHuntera. Możesz więc sobie doczyścić różne wpisy śmieciowe / puste. Akcje do wdrożenia: 1. W Firefox w menedżerze dodatków wymontuj adware PriceMInuus. 2. Odinstaluj stare wersje, zbędne programy i naruszony IE: Adobe AIR, Adobe Flash Player 20 ActiveX, Adobe Flash Player 20 NPAPI, Adobe Flash Player 20 PPAPI, Adobe Shockwave Player 12.0, AVG Security Toolbar, Google Talk Plugin (już nie działa i jest też uszkodzony), Java 7 Update 51, Java SE Development Kit 7 Update 21, Opera 12.17, Windows Internet Explorer 8. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{9554DDB6-5D5F-439B-B464-1CA5742166B3}.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-117609710-854245398-725345543-1003Core.job => C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-117609710-854245398-725345543-1003UA.job => C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe S2 Apache2.2; "C:\xampp\apache\bin\httpd.exe" -k runservice [X] S3 AvgAMPS; "C:\Program Files\AVG\Av\avgamps.exe" [X] S0 BMLoad; system32\drivers\BMLoad.sys [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Run: [iSkysoft Helper Compact.exe] => C:\Program Files\Common Files\iSkysoft\iSkysoft Helper Compact\ISHelper.exe [1667072 2012-02-28] (iSkySoft) HKU\S-1-5-21-117609710-854245398-725345543-1003\...\Run: [LightShot] => C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Skillbrains\lightshot\Lightshot.exe Toolbar: HKU\S-1-5-21-117609710-854245398-725345543-1003 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\admin\Dane aplikacji\LiveSupport.exe_log.txt C:\Documents and Settings\admin\Dane aplikacji\regsvr32.exe_log.txt C:\Documents and Settings\admin\Dane aplikacji\Enigma Software Group C:\Documents and Settings\admin\Pulpit\SpyHunter-Installer.exe C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\uninstall.html C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\updater.log C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\UserProducts.xml C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\Enigma Software Group C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Common Files\iSkysoft C:\sh4ldr C:\WINDOWS\system32\Drivers\EsgScanner.sys CMD: netsh firewall reset CMD: rundll32 wbemupgd, UpgradeRepository EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zainstaluj IE8 i nowe wersje Adobe Flash oraz zaktualizuj Adobe Reader. Instalatory w przyklejonym: KLIK. 5. Wyczyść Dzienniki zdarzeń: Start > Uruchom > eventvwr.msc i opróżnij z prawokliku gałęzie Aplikacja i System. Zresetuj system, by nagrały się nowe rekordy. 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition oraz Shortcut którego poprzednio zabrakło. Dołącz też plik fixlog.txt.

Fix FRST pomyślnie wykonany. Pokaż zrzut ekranu z tego miejsca. Skrypt FRST automatycznie zabija procesy głównych przeglądarek (i to bez użycia komendy CloseProcesses:). To jest zaplanowane przez autora działanie, którego nie da się zmanipulować. W tym obszarze nic nie było grzebane. Na pewno problem występuje po restarcie systemu?

Całość wygląda jak czynne "przetwarzanie polityk", pomimo iż nie są one ustawione. W tych folderach nie ma nic wyraźnego, tylko inicjujące gpt.ini i pusty registry.pol. Nasuwa się też pytanie czy komputer był migrowany z domeny. Zauważyłam, że w kluczach Group Policy masz dużo podkluczy SID nieistniejących w systemie kont, co wygląda jak cache jakiegoś poprzedniego układu. W tej sytuacji spróbuj zresetować stan lokalnych polityk (degradacja kluczy History, State, Status i wszystkich SID). Klucze State, Status i SID relatywny do konta Asus powinny się zregenerować od zera po restarcie. 1. Zaimportuj poprzedni FIX.REG. Nie resetuj komputera, to wdroży poniższy punkt. 2. Do Notatnika wklej: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{426031c0-0b47-4852-b0ca-ac3d37bfcb39} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1000 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1004 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1007 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1008 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1010 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1011 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1012 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-500 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Status DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Editor C:\Windows\system32\GroupPolicy\Machine C:\Windows\system32\GroupPolicy\User C:\Windows\system32\GroupPolicy\gpt.ini C:\Windows\SysWOW64\GroupPolicy\gpt.ini Reboot: Zapisz jako fixlist.txt tam gdzie siedzi FRST, w FRST klik w Napraw (Fix), nastąpi restart. Przedstaw fixlog.txt i wypowiedz się czy zmiany UAC się utrzymały.

Myślę, że skan GMER możemy sobie darować. Prawie wszystko usunięte (Tencent nieczynny w odpadkach), ale jeszcze mamy tu co robić. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 BugreportW; C:\Program Files\hohobnd\ghabuk.exe [989728 2016-04-18] () [brak podpisu cyfrowego] R2 IhPul; C:\Documents and Settings\Właściciel\Dane aplikacji\TSv\TSvr.exe [376592 2016-04-25] (tsvr.com) S2 AppMgr2.12.4036661; "C:\Documents and Settings\All Users\Dane aplikacji\AppMgr2.12.4036661\AppMgr.exe" [X] S2 qkseeService; C:\Program Files\qksee\qkseeSvc.exe [X] S2 Util Checked List; Brak ImagePath S2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\9winp9\WFini.exe -svr [X] S3 TSSK; C:\WINDOWS\System32\tssk.sys [83576 2016-03-16] (电脑管家) R1 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMUdisk.sys [X] R3 softaal; \??\C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\softaal.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] R4 TAOKernelDriver; \??\C:\WINDOWS\system32\Drivers\TAOKernelXP.sys [X] R4 TsFltMgr; System32\drivers\TsFltMgr.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=90098758_hao_pg HKU\S-1-5-21-1409082233-1844823847-842925246-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=90098758_hao_pg C:\Documents and Settings\Administrator\Dane aplikacji\eCyber C:\Documents and Settings\Administrator\Dane aplikacji\Uncheckit C:\Documents and Settings\Administrator\Dane aplikacji\WinZiper C:\Documents and Settings\All Users\TXQMPC C:\Documents and Settings\All Users\Dane aplikacji\9winp9 C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\All Users\Dane aplikacji\Tencent C:\Documents and Settings\All Users\Dane aplikacji\uckt C:\Documents and Settings\All Users\Dane aplikacji\Uncheckit C:\Documents and Settings\LocalService\Dane aplikacji\Tencent C:\Documents and Settings\LocalService\Dane aplikacji\Uncheckit C:\Documents and Settings\NetworkService\Dane aplikacji\Tencent C:\Documents and Settings\Właściciel\Dane aplikacji\GiftBag.db C:\Documents and Settings\Właściciel\Dane aplikacji\eCyber C:\Documents and Settings\Właściciel\Dane aplikacji\FreeVPN C:\Documents and Settings\Właściciel\Dane aplikacji\qksee C:\Documents and Settings\Właściciel\Dane aplikacji\Tencent C:\Documents and Settings\Właściciel\Dane aplikacji\TSv C:\Documents and Settings\Właściciel\Dane aplikacji\Uncheckit C:\Documents and Settings\Właściciel\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk C:\Documents and Settings\Właściciel\Menu Start\Programy\Sparta C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Avg C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Avg2015 C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\AvgSetupLog C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\MFAData C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Sparta C:\Documents and Settings\W砤渃iciel C:\Program Files\hohobnd C:\Program Files\QQBrowser C:\Program Files\Tencent C:\Program Files\Common Files\Tencent C:\WINDOWS\QMNetworkMgr.ini C:\WINDOWS\system32\pl.html C:\WINDOWS\system32\TSSK.sys C:\WINDOWS\system32\Drivers\TS888.sys C:\WINDOWS\Tasks\Browser Updater Task(Core).job CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Start > Uruchom > wklej polecenie "C:\Program files\Mozilla Firefox\firefox.exe" -p i ENTER. Usuń drugi nieużywany profil. Na bieżącym profilu zaś poniższe akcje: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj 电脑管家上网防护, Quick Searcher. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Przejrzałam na szybko log. Log sugeruje, że masz czynne jakieś polityki grup. Oto wyciąg z ProcMon pokazujący, że cały klucz "Policies" tnie z rejestru svchost.exe (instancja typu GPSvcGroup), a zaraz po tym odtwarza klucz (jako niepełny) lsass.exe: Poproszę o przesłanie mi całych folderów spakowanych do ZIP (o ile nie są puste): C:\Windows\System32\GroupPolicy C:\Windows\System32\GroupPolicyUsers C:\Windows\SysWOW64\GroupPolicy C:\Windows\SysWOW64\GroupPolicyUsers

Wszystko zrobione, problem rozwiązany. Drobne poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres www.msn.com (dodany przez sponsorowanego Binga, wcześniej uruchamianego w starcie). 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3098602006-2938289800-2830118032-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Ł\AppData\Local\Akamai\netsession_win.exe" AppInit_DLLs: prio.dll => Brak pliku Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy plik fixlog.txt.

Jak powiedziałam, wszystkie pliki które utworzył Procmon podczas tej procedury.

Wszystko spakuj do ZIP i podaj link. Nie wiem czy dziś zdążę to sprawdzić.

Założyłam, że obecny FIX.REG już był zaimportowany i nie restartowałeś systemu (tzn. zmiany są już w rejestrze zapisane). - Jeśli tak, to tylko uruchamiasz Process Monitor > Enable Boot Logging > restart. - Jeśli jednak wcześniej zrestartowałeś komputer i zmiany znów wyzerowane, to importujesz FIX.REG > uruchamiasz Process Monitor > Enable Boot Logging > restart.

Kierowałam do konkretnej instrukcji wskazującej, że mają powstać trzy logi a nie dwa. Brakuje trzeciego FRST Shortcut. Tak jak już mówiłam, szkodnik zaimplementowany na poziomie Harmonogramu zadań (zadanie WindowsUpda2ta). Ponadto jeszcze w systemie różne obiekty adware tu i ówdzie. Działania do wdrożenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Akamai NetSession Interface (zbędny downloader produktów Autodesk), Host App Service, Pokki Start Menu (wątpliwej jakości aplikacje "Pokki") oraz Prio (to jest wtyczka dla menedżera zadań starych systemów, na Windows 10 zbędna i niekompatybilna). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {16051948-848A-4AFF-97E9-64356DB77399} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {1E0FB330-3A17-42AA-8E09-27302E552298} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {390722A9-96BF-4B00-A62D-53B4B30C6485} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {6E4C5DE8-E3D3-4B37-AA5A-DCC946C007BF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {93376BBA-D061-4F03-B13C-35F3B3B2AFE3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {A7BE98AE-9C3B-4925-8DA8-F5DA50880A47} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {A9222943-FBA6-4589-9BDD-A50CFE3002B3} - System32\Tasks\WindowsUpda2ta => C:\Users\Ł\AppData\Roaming\MICROSOFT\home.vbe Task: {AAFC8023-1940-4954-A616-0BA6A8EF3CFA} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {B285F58B-D046-4C2B-80B4-69DA870DED46} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {B84773AA-AE7D-4964-966B-367C46335504} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {BA57C465-786B-4812-B0DE-C19277C83213} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {EAFB67F9-17A9-4593-9EFD-2B06C76157F1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3098602006-2938289800-2830118032-1002\...\Run: [bingSvc] => C:\Users\Ł\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-04-07] (© 2015 Microsoft Corporation) HKU\S-1-5-21-3098602006-2938289800-2830118032-1002\...\Policies\Explorer: [] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR HKU\S-1-5-21-3098602006-2938289800-2830118032-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130941689149221078&GUID=5C810724-79D5-4011-8B45-C013417334B5 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1432803684&z=7325cde8a8920720c6b00fcgaz9c8o7b5efc6q9b2z&from=cor&uid=ST2000LM003XHN-M201RAD_S356J9DFA01096&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hp&ts=1432803684&z=7325cde8a8920720c6b00fcgaz9c8o7b5efc6q9b2z&from=cor&uid=ST2000LM003XHN-M201RAD_S356J9DFA01096 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1432803684&z=7325cde8a8920720c6b00fcgaz9c8o7b5efc6q9b2z&from=cor&uid=ST2000LM003XHN-M201RAD_S356J9DFA01096&q={searchTerms} HKU\S-1-5-21-3098602006-2938289800-2830118032-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hp&ts=1432803684&z=7325cde8a8920720c6b00fcgaz9c8o7b5efc6q9b2z&from=cor&uid=ST2000LM003XHN-M201RAD_S356J9DFA01096 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3098602006-2938289800-2830118032-1002 -> DefaultScope {847E873F-E6E5-4B8A-A636-0EE4CA7CF550} URL = SearchScopes: HKU\S-1-5-21-3098602006-2938289800-2830118032-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=1432803684&z=7325cde8a8920720c6b00fcgaz9c8o7b5efc6q9b2z&from=cor&uid=ST2000LM003XHN-M201RAD_S356J9DFA01096&q={searchTerms} SearchScopes: HKU\S-1-5-21-3098602006-2938289800-2830118032-1002 -> {847E873F-E6E5-4B8A-A636-0EE4CA7CF550} URL = BHO-x32: Crazy Score -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> C:\Program Files (x86)\Crazy Score\Extensions\f439aa7e-a2a0-4635-99a2-164180e848ca.dll => Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Ł\AppData\Local\Microsoft\BingSvc C:\Users\Ł\Desktop\Niepotwierdzony 955907.crdownload CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt.

Jeśli używasz suwaka i zapisujesz zmiany w tym dialogu, automatycznie są zapisywane do rejestru trzy wartości: ConsentPromptBehaviorAdmin, EnableLUA, PromptOnSecureDesktop. Pusty klucz powinien być pokazany jako pusty również w awaryjnym, sprawdziłam to. Dlatego też te widoczne w awaryjnym wartości powinny być pochodną dialogu UAC (dodajesz je za pomocą dialogu w awaryjnym). W każdym razie, to już sobie wyjaśniłam. Problemem tu jest, że jakiś mechanizm zeruje wszystkie zmiany w kluczu podczas restartu.

Nagraj log z Process Monitor podczas startu Windows. Tzn. uruchom program, przekreśl lupkę, Options > Enable Boot Logging, restart systemu, otwierasz Process Monitor i poprosi o zapis loga który nagrał. PS. Jakoś mnie zaćmiło poprzednio z tym "tymczasowym środowiskiem". Ty raczej widzisz te kilka wartości "uzupełnionych" w trybie awaryjnym, ponieważ używasz dialogu ustawień UAC by sprawdzić czy suwak się utrzyma, prawda? Użycie tego dialogu automatycznie zapisuje te trzy wartości do rejestru. I te trzy uzupełnione dialogiem wartości powinny przetrwać podczas uruchomienia w normalnym. U Ciebie najwyraźniej "coś" zeruje klucz, czy pełny (z FIX.REG) czy częściowy (z dialogu ustawień UAC), wszystko jest usuwane. Nie. Import się wykonuje poprawnie, więc FRST pokaże przed restartem komputera, że klucz jest OK. Po restarcie zaś log znów przedstawi pusty klucz.

Nic z tego nie wynika. W dostarczonym logu nagrany pomyślny import pliku REG i zapisanie wartości, żadnych błędów, żadnych rekordów odnośnie dalszych losów klucza. Pytanie: kiedy konkretnie te ustawienia się samoczynnie zmieniają, zaraz po zaaplikowaniu zmian (użycie dialogu ustawień UAC lub import FIX.REG), czy może po restarcie systemu lub dłuższym jego działaniu? Jeśli suwak UAC zmienia się dopiero po pewnym czasie, to nagraj jeszcze jeden log z Process Monitor zrobiony z czasu między naprawą a wystąpieniem usterki: przywrócenie części lub wszystkich ustawień (użycie dialogu ustawień UAC lub FIX.REG) > zostawiasz otwarty program aż do momentu gdy suwak się przestawi > kończysz nagrywanie i zapisujesz log.

Temat przenoszę do działu malware. To wpis infekcji (m.in. może startować via Harmonogram zadań). Poproszę o raporty z FRST.

Brak zmian w UAC. Import wykonany, klucz odczytywany w FRST jako pusty. Nagraj log co się dzieje podczas operacji na tym kluczu. 1. Przygotuj plik FIX.REG o zawartości: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments] "ScanWithAntiVirus"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum] "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"=dword:00000001 "{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}"=dword:40000021 "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"=dword:00000020 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=dword:00000005 "ConsentPromptBehaviorUser"=dword:00000003 "EnableInstallerDetection"=dword:00000001 "EnableLUA"=dword:00000001 "EnableSecureUIAPaths"=dword:00000001 "EnableUIADesktopToggle"=dword:00000000 "EnableVirtualization"=dword:00000001 "PromptOnSecureDesktop"=dword:00000001 "ValidateAdminCodeSignatures"=dword:00000000 "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "scforceoption"=dword:00000000 "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "FilterAdministratorToken"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats] "CF_TEXT"=dword:00000001 "CF_BITMAP"=dword:00000002 "CF_OEMTEXT"=dword:00000007 "CF_DIB"=dword:00000008 "CF_PALETTE"=dword:00000009 "CF_UNICODETEXT"=dword:0000000d "CF_DIBV5"=dword:00000011 2. Uruchom Process Monitor. Zaimportuj plik FIX.REG. Zakończ nagrywanie w Process Monitor klikając w ikonę lupki na pasku narzędzi (ma się przekreślić). Zapisz log w formacie *.PML. Log spakuj do ZIP i shostuj gdzieś podając link.

Na tym drugim obrazu nie podświetliłeś tego samego klucza (jest zaznaczony wyższy), niemniej w Twoim rejestrze one rzeczywiście są puste. Z tego wynika że w trybie awaryjnym jest tymczasowo ładowane inne środowisko. Wszystkie podane powyżej działania są nadal aktualne.

Czyli wszystko w porządku. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Prosiłam o eksport rejestru, by sprawdzić jakie są dane wartości (nie ich nazwy, do czego pijesz, tylko dane wartości). Ale skoro mówisz, że tylko Free Uninstaller zwraca ten błąd, to problemem prawdopodobnie jest ten program. To jest archaizm z 2007 roku, więc całkiem możliwe że nie działa poprawnie.

Mam pytanie, bo ten punkt wprowadził zamieszanie (rzekoma widoczność zawartości klucza): Co ten tekst miał oznaczać, tzn. na co patrzyłeś w rejestrze? Czyżby na same klucze a nie co zawierają? Klucze są od początku, tylko są puste. Chodzi cały czas o import wartości w tych kluczach. Groszexxx już prawidłowo to wytypował na podstawie raportu FRST i zadał operację importu do rejestru, tylko właśnie fakt samego importu nie został tu objaśniony. Skwitowałeś sprawę słowami "Nie poskutkowało". Zero informacji co się działo podczas importu pliku, czy wystąpił jakiś błąd, na czym polegało "nie zapisywanie zmian". Druga sprawa, są inne niekorzystne zmiany względem pierwszych raportów (nie było wcześniej tych usterek): - Widać nieukrytą usługę Microsoftu i korespondujący błąd w Dzienniku. Usługa ta jest uszkodzona (zdewastowany podklucz Parameters): S2 LanmanWorkstation; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 LanmanWorkstation; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) Dziennik System: ============= Error: (04/24/2016 04:07:03 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Stacja robocza zakończyła działanie; wystąpił następujący błąd: %%2 - Usługa Winmgmt wygląda inaczej niż wcześniej. Określone dane (Description, DisplayName i Group) są niepoprawne, wyglądają jak zaimportowane ze starego systemu XP. I ta niezgodność danych pojawiła się w trakcie napraw w temacie - Groszexxx pobierał na początku dane z rejestru i usługa wyglądała OK. Wnioski się nasuwają takie, że ten "Windows Repair (All In One)" wykonał niepoprawny "reset WMI", bo nie widzę tu innej możliwości skąd zmiana danych... Dla pewności cały klucz usunę i zaimportuję "na czysto". - Zawartość klucza SafeBoot przestała być domyślna. Zostały dodane klucze, które nie występują w domyślnym układzie. I też się zdaje, że to robota "Windows Repair (All In One)". Ten wątek omijam na razie. Jeśli chodzi o uszkodzone WMI, sprawa nadal będzie wymagać analizy (nie przejrzałam wszystkich poprzednich materiałów). Kolejne podejście z importem rejestru, w szerszym zakresie: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\AVG] [-HKEY_CURRENT_USER\Software\Chromium] [-HKEY_CURRENT_USER\Software\KasperskyLab] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PandaAgent] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeBridge] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BLEServicesCtrl] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BTMTrayAgent] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments] "ScanWithAntiVirus"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum] "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"=dword:00000001 "{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}"=dword:40000021 "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"=dword:00000020 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=dword:00000005 "ConsentPromptBehaviorUser"=dword:00000003 "EnableInstallerDetection"=dword:00000001 "EnableLUA"=dword:00000001 "EnableSecureUIAPaths"=dword:00000001 "EnableUIADesktopToggle"=dword:00000000 "EnableVirtualization"=dword:00000001 "PromptOnSecureDesktop"=dword:00000001 "ValidateAdminCodeSignatures"=dword:00000000 "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "scforceoption"=dword:00000000 "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "FilterAdministratorToken"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats] "CF_TEXT"=dword:00000001 "CF_BITMAP"=dword:00000002 "CF_OEMTEXT"=dword:00000007 "CF_DIB"=dword:00000008 "CF_PALETTE"=dword:00000009 "CF_UNICODETEXT"=dword:0000000d "CF_DIBV5"=dword:00000011 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MAIN] "Local Page"="C:\\Windows\\SysWOW64\\blank.htm" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\8052240E.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cpuz136] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cpuz138] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\IntcAzAudAddService] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,6b,00,73,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceDllUnloadOnStop"=dword:00000001 "EnablePlainTextPassword"=dword:00000000 "EnableSecuritySignature"=dword:00000001 "RequireSecuritySignature"=dword:00000000 "OtherDomains"=hex(7):00,00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [-HKEY_USERS\S-1-5-18\SOFTWARE\Policies\Microsoft\Internet Explorer] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG na Pulpicie Plik ten będzie importowany za pomocą FRST a nie ręcznie. 2. Otwórz Notatnik i wklej w nim: Reg: reg import C:\Users\Asus\Desktop\fix.reg CMD: sc sdset winmgmt D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD) CMD: type C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\42h046m9.default-1457814586723\user.js Reboot: Plik zapisz pod nazwą fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie plik fixlog.txt. 3. Wyczyść błędy w Dzienniku zdarzeń. Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń gałąź Dzienniki systemu Windows i z prawokliku Wyczyść Aplikacja oraz System. Rozwiń gałąź Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawoliku wyczyść Operational. Po czyszczeniu zresetuj system, by zostały złapane nowe błędy. 4. Zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym polem Addition i tylko plik Addition dostarcz. Dołącz też fixlog.txt.

Potwierdzam poprzednią diagnozę. Naruszone jest tylko wystąpienie w wersji z bazowej edycji "Wersja 1511", nowsze instancje zaaplikowane z Windows Update są OK. Podmiana uszkodzonego pliku: 1. Pobierz 64-bitowy plik zgodny z Windows 10 Wersja 1511 x64: KLIK. Na pendrive H:\ umieść ten plik oraz zrobiony w Notatniku plik fixlist.txt o następującej zawartości: CMD: copy /y H:\winload.exe C:\Windows\WinSxS\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_10.0.10586.0_none_e7ac528b16fe1379\winload.exe CMD: copy /y H:\winload.exe C:\Windows\WinSxS\amd64_microsoft-windows-b..ment-windows-minwin_31bf3856ad364e35_10.0.10586.0_none_dc713eb3a655c1c1\winload.exe 2. Uruchom ponownie FRST. Wybierz opcję Napraw (Fix). Na pendrive powstanie plik fixlog.txt. Przedstaw go.

Dosłownie ten błąd oznacza, że wartości InstallDate (data instalacji) mają nieprawidłowe dane wartości. Poproszę o eksport kluczy Uninstall: Start > Uruchom > regedit Z prawokliku wyeksportuj do pliku REG następujące klucze: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall Pliki REG shostuj gdzieś i podaj do nich link.

O ile problem nadal aktualny, dostarcz raport z FRST zrobiony z poziomu RE: KLIK. CBS.log bezużyteczny. W środowisku zewnętrznym w ogóle nie jest nagrywana akcja SFC fo CBS.log. Wątek punktowany w tutorialu: KLIK.

Log ntbtlog.txt nie daje żadnych wskazówek. W wykazie plików rejestru jest znak, że jedyny plik który na pewno podlegał modyfikacji, to plik SYSTEM (ma świeżą datę, pozostałe starą), ale to może być wynik Twoich późniejszych manipulacji z montowaniem. Spróbuj więc podstawić kopie SOFTWARE + SYSTEM z Repair i zobaczymy co z tego wyniknie. Tylko jak mówiłam, to "czysta" kopia, nie uwzględnia zainstalowanych później programów i mogą być duże rozbieżności. 1. Przygotuj skrypt do FRST. Do Notatnika wklej: CMD: ren C:\Windows\system32\config\software software.old CMD: ren C:\Windows\system32\config\system system.old CMD: copy /y C:\Windows\Repair\software C:\Windows\system32\config\software CMD: copy /y C:\Windows\Repair\system C:\Windows\system32\config\system Zapisz jako fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Spróbuj wejść do systemu. Jeśli się uda, zrób logi FRST spod Windows: KLIK.

Logi z OTL ponownie usuwam (Rucek wcześniej też to robił). Logi z tego archaizmu nie są tu już w ogóle brane pod uwagę. FRST przebił możliwości OTL już dawno temu. Niestety ten błąd który opisujesz spowodował, że plik FRST Addition jest urwany, brak też raportu FRST Shortcut. System jest zainfekowany adware. Dodatkowo, jest tu zainstalowany program oszust YAC (Yet Another Cleaner). Do wykonania następujące działania: 1. Odinstaluj: IncrementEdit, McAfee Security Scan Plus, PriceFountain, qksee, WarThunder, WinZip, YAC(Yet Another Cleaner!). WarThunder i WinZip to podróbki, a nie te programy które nasuwają się na myśl. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {674829ea-f837-40f8-b8e1-613b1b2d47c8}Gw64; C:\Windows\System32\drivers\{674829ea-f837-40f8-b8e1-613b1b2d47c8}Gw64.sys [48784 2015-03-25] (StdLib) S2 gprotect; C:\ProgramData\Google\update\GoogleUpdate.exe [315008 2016-01-25] () S2 WMModules; C:\ProgramData\Google\update\GoogleUpdate.exe [315008 2016-01-25] () S2 browserServer_2015.11.10.10.26.01; C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe [X] S2 WSModules; "C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe" [X] S3 GPU-Z; \??\C:\Users\Krzak\AppData\Local\Temp\GPU-Z.sys [X] S1 wpnfd_1_10_0_6; system32\drivers\wpnfd_1_10_0_6.sys [X] S1 {3788502c-c1e8-40a8-8914-655def81ee5b}Gw64; system32\drivers\{3788502c-c1e8-40a8-8914-655def81ee5b}Gw64.sys [X] S1 {4dab53d4-80cb-41db-8aeb-6aff55ca8f33}Gw64; system32\drivers\{4dab53d4-80cb-41db-8aeb-6aff55ca8f33}Gw64.sys [X] Task: {0D5FC046-4E38-49B1-8C17-35912E96233B} - System32\Tasks\{B2DD8CE1-636D-4F08-810F-F3BE311117D9} => pcalua.exe -a C:\Users\Krzak\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt Task: {2D0E83F3-49EB-43C1-B23E-C1B4B1A7A588} - System32\Tasks\SPBIW_UpdateTask_Time_3338303036373537352d5a556c6c4a5a575750414134 => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {303DBAEF-E691-4E68-A04D-6D53F3924666} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {34DE0E31-F242-4602-B6BB-1DA785811AE6} - \622cfd39-1cb7-4800-b843-2be30f6b6e15-5 -> Brak pliku Task: {51B00320-1096-47B4-87CE-1C080D33215F} - System32\Tasks\ghokswaBrowserUpdateCore => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe Task: {531E5BE2-BC90-49AA-AA6C-BFBDE574E22E} - System32\Tasks\{16AE44DC-E1AD-4F73-8191-860737DCD728} => pcalua.exe -a C:\Users\Krzak\Downloads\JavaRa-2.6\JavaRa-2.6\JavaRa.exe -d C:\Users\Krzak\Downloads\JavaRa-2.6\JavaRa-2.6 Task: {5918A0A1-881D-4B51-A000-500C7A898BF3} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {71C80CB3-AB9A-4E8E-A3DE-B9AEFDE132BB} - \Microsoft\Windows Defender\MpIdleTask -> Brak pliku Task: {7396B3DC-8C87-4788-9AC7-C808DCCCEA73} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {745A0712-F127-45DD-B848-B2239E80D292} - System32\Tasks\{EEDB02A6-678B-4AF9-8117-9CED29F95F74} => pcalua.exe -a "C:\Users\Krzak\AppData\Local\Temp\Temp1_CardReader_Alcor_1.0.12.50_W7x86W7x64_A.zip\Card Reader_Alcor_1.0.12.50_Win7x86x64_Aspire 5740\Setup.exe" Task: {8AD80712-5089-4EB0-A6FB-A09F60A7B717} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe [2014-09-20] (Megaify Software Co., Ltd.) Task: {AEE2BF61-D805-4AE3-9515-687A00015858} - \622cfd39-1cb7-4800-b843-2be30f6b6e15-1-7 -> Brak pliku Task: {C23181F2-97D0-4F39-9FB1-C1A77496A878} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {C8D08D06-6B0F-46F3-9828-61FA5E15015A} - \CCleanerSkipUAC -> Brak pliku Task: {E37E0A73-7948-4024-B3A4-1EEDFC860291} - \ghokswaBrowserUpdateUA -> Brak pliku Task: {E4E0659A-8FB3-4FB3-87FD-0C422FEF6ADF} - \622cfd39-1cb7-4800-b843-2be30f6b6e15-11 -> Brak pliku Task: {EEEF62B8-71D2-408D-AEC6-96E9F99EE9E9} - \622cfd39-1cb7-4800-b843-2be30f6b6e15-5_user -> Brak pliku Task: {F7875546-E9FC-44D9-BC5D-25849D272009} - System32\Tasks\ghokswaCheckTask => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe Task: {FCB0C503-F75F-4BE4-9539-2BEA084938FB} - System32\Tasks\{A878E990-6CEC-4451-9D4A-AA5B441D3AFD} => pcalua.exe -a C:\Users\Krzak\AppData\Local\Temp\Temp1_AHCI_Intel_9.6.0.1014_W7x86W7x64_A.zip Task: C:\Windows\Tasks\622cfd39-1cb7-4800-b843-2be30f6b6e15-1-7.job => C:\Program Files (x86)\SensePlus\622cfd39-1cb7-4800-b843-2be30f6b6e15-1-7.exe Task: C:\Windows\Tasks\622cfd39-1cb7-4800-b843-2be30f6b6e15-11.job => C:\Program Files (x86)\SensePlus\622cfd39-1cb7-4800-b843-2be30f6b6e15-11.exe Task: C:\Windows\Tasks\622cfd39-1cb7-4800-b843-2be30f6b6e15-5.job => C:\Program Files (x86)\SensePlus\622cfd39-1cb7-4800-b843-2be30f6b6e15-5.exe Task: C:\Windows\Tasks\622cfd39-1cb7-4800-b843-2be30f6b6e15-5_user.job => C:\Program Files (x86)\SensePlus\622cfd39-1cb7-4800-b843-2be30f6b6e15-5.exe Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe Task: C:\Windows\Tasks\Chrome Cleanup Tool logs upload retry.job => C:\Users\Krzak\AppData\Local\Temp\77B3.exe Task: C:\Windows\Tasks\Chrome Cleanup Tool post reboot run.job => C:\Users\Krzak\AppData\Local\Temp\77B3.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Krzak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX ShortcutWithArgument: C:\Users\Krzak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com?type=hp&ts=1450296146&from=mych123&uid=hitachixhts545032b9a300_091121pbnc06qykjtk4rx&z=666af60b42ee294b45ba46bgfzaw7e7oat9qegazet HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com?type=hp&ts=1450296146&from=mych123&uid=hitachixhts545032b9a300_091121pbnc06qykjtk4rx&z=666af60b42ee294b45ba46bgfzaw7e7oat9qegazet HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450296146&from=mych123&uid=hitachixhts545032b9a300_091121pbnc06qykjtk4rx&z=666af60b42ee294b45ba46bgfzaw7e7oat9qegazet HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450296146&from=mych123&uid=hitachixhts545032b9a300_091121pbnc06qykjtk4rx&z=666af60b42ee294b45ba46bgfzaw7e7oat9qegazet HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} HKU\S-1-5-21-2485468350-622519217-2592332594-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1423312779&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} HKU\S-1-5-21-2485468350-622519217-2592332594-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com?type=hp&ts=1450296146&from=mych123&uid=hitachixhts545032b9a300_091121pbnc06qykjtk4rx&z=666af60b42ee294b45ba46bgfzaw7e7oat9qegazet HKU\S-1-5-21-2485468350-622519217-2592332594-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450296146&from=mych123&uid=hitachixhts545032b9a300_091121pbnc06qykjtk4rx&z=666af60b42ee294b45ba46bgfzaw7e7oat9qegazet HKU\S-1-5-21-2485468350-622519217-2592332594-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1423312779&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.look-for-it.info/?l=1&q={searchTerms}&pid=21242&r=2015/02/11&hid=7235236965788956925&lg=EN&cc=PL&unqvl=82 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1423312731&from=smt&uid=HitachiXHTS545032B9A300_091121PBNC06QYKJTK4RX&q={searchTerms} SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.look-for-it.info/?l=1&q={searchTerms}&pid=21242&r=2015/02/11&hid=7235236965788956925&lg=EN&cc=PL&unqvl=82 SearchScopes: HKU\S-1-5-21-2485468350-622519217-2592332594-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2485468350-622519217-2592332594-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2485468350-622519217-2592332594-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2485468350-622519217-2592332594-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2485468350-622519217-2592332594-1000 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2485468350-622519217-2592332594-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2485468350-622519217-2592332594-1000 -> {szukaj.gazeta.pl} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO-x32: Brak nazwy -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {8dcb7100-df86-4384-8842-8fa844297b3f} - Brak pliku DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes CMD: ipconfig /flushdns CMD: netsh advfirewall reset C:\Program Files (x86)\DriverToolkit C:\Program Files (x86)\ghokswa Browser C:\Program Files (x86)\qksee C:\Program Files (x86)\vreXjvX C:\Program Files (x86)\WinZipper C:\ProgramData\Google\update C:\ProgramData\TEMP C:\Users\Krzak\AppData\Local\{*} C:\Users\Krzak\AppData\Roaming\awBttMtTrmTUQ7c9H C:\Users\Krzak\AppData\Roaming\qksee C:\Users\Krzak\AppData\Roaming\WinZiper C:\Users\Krzak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain C:\Windows\AutoKMS C:\Windows\System32\drivers\{674829ea-f837-40f8-b8e1-613b1b2d47c8}Gw64.sys Folder: C:\ProgramData\Google Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware SensePlus.V2 4. Zrób nowe logi FRST: - FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. - W FRST w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze i dostarcz wynikowy log. ghokswa Dołącz też plik fixlog.txt. PS. I już nie edytuj pierwszego posta. Odpowiadasz oczywiście w nowym.