picasso

Przepraszam, drobne przeoczenie z mojej strony, rzeczywiście mogło się polepszyć po poprzedniej nieudanej rundzie, bo jedyny wpis który FRST przetworzył to poniższy od cracka: KMS-R@1n => serwis pomyślnie usunięto Tak więc to dowód, że crack mieszał. A w tym podejściu wszystko zrobione. W związku z likwidacją cracka mam pytanie: jak wygląda teraz stan aktywacji systemu? I mini poprawka. Otwórz Notatnik i wklej w nim: S3 pneteth; \SystemRoot\System32\drivers\pneteth.sys [X] RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix).

Nie widzę żadnego pliku doczepionego w załącznikach...

Wbrew pozorom MPC Cleaner było łatwo odinstalować, posługując się plikiem deinstalacji w folderze programu. To było pożądane działanie usuwające gładko usługi i sterowniki programu. Niestety opis wskazuje, że próbowałeś go załatwić w stanie czynnym przy udziale zewnętrznych programów. Notabene, stosowałeś wątpliwe programy typu "Spyware Terminator". Temat przenoszę do działu Windows. W raportach brak oznak czynnej infekcji. Opisywane problemy nie wyglądają też w ogóle na powiązane ze szkodliwymi programami i MPC Cleaner. To raczej jest skutek Twoich nieumiejętnych napraw, widzę że są naruszone rzeczy, które definitywnie nie są pochodną szkodliwych instalacji, tylko manipulacji ręcznych. Co widać w raportach: 1. Znaki uszkodzenia konta użytkownika oraz błąd Przywracania systemu sugerujący problem z dyskiem. To na razie pomijam, gdyż nie wiadomo czy na pewno pierwszy błąd odnosi się do konta magic. Na dysku widać, że powstawał jakiś folder C:\Users\TEMP i replikaty, ale nagłówek raportu FRST nie wykazuje, by konto magic miało obecnie charakter tymczasowy. Dziennik Aplikacja: ================== Error: (05/01/2016 08:17:52 AM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Nieokreślony błąd. Dziennik System: ============= Error: (05/01/2016 08:30:43 AM) (Source: volsnap) (EventID: 14) (User: ) Description: Kopie w tle woluminu C: zostały przerwane z powodu usterki We/Wy w woluminie C:. 2. Naruszone WMI systemowe (nadrzędna zależność dla niektórych funkcji systemu): ==================== Punkty Przywracania systemu ========================= Niepowodzenie przy listowaniu punktów przywracania Sprawdź usługę "winmgmt" lub napraw WMI. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI. 3. Rozwalone niektóre linki symboliczne systemu, dlatego Shortcut jest taki ogromny. Widać otwartą "pętlę" Application Data jak w poniższym przykładzie. Obawiam się, że sam do tego doprowadziłeś próbując usuwać MPC Cleaner - zastosowałeś ręcznie jakiś bardzo niepoprawny reset uprawnień na obiektach które nie powinny być resetowane (naturalna "Odmowa dostępu"). Ta usterka wymaga większego nakładu pracy, dla porównania ten temat: KLIK. Z tego powodu na razie to ominę. Shortcut: C:\ProgramData\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows\Start Menu\Programs\MKVToolNix\Documentation\Command line reference\Chinese Simplified\mkvextract CLI reference.lnk -> C:\Program Files (x86)\MKVToolNix\doc\zh_CN\mkvextract.html () 4. Niepoprawnie odinstalowany AVG TuneUp, po którym zostały czynne różne procesy oraz Debugger filtrujący określone pliki (pliki przestają się uruchomiać w przypadku braku TUAutoReactivator64.exe na dysku): IFEO\driverbooster.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\googledrivesync.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\picasa3.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\picasaphotoviewer.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\samsung link menu start.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\unins000.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\utorrent.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" Wstępnie więc spróbuj skorygować powyższe, z wyjątkiem rozwalonych linków symbolicznych (to wymaga więcej czasu), oraz wyczyścić system z odpadków po różnych programach. Na razie nie zadaję żadnej deinstalacji, gdyż jeden z wpisów Debuggera filtruje plik "unins000.exe", czyli określone deinstalatory mogą nie działać. Działania wstępne: 1. Zastosuj narzędzie AVG PC TuneUp and TuneUp Utilities Remover. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 avchv; system32\DRIVERS\avchv.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 BTCOM; system32\DRIVERS\btcomport.sys [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 IvtComBusSrv; System32\Drivers\btcombus.sys [X] S3 LMIInfo; \??\C:\Program Files (x86)\LogMeIn\x64\RaInfo.sys [X] S4 LMIRfsClientNP; Brak ImagePath S3 usbbus; system32\DRIVERS\lgx64bus.sys [X] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X] S3 USBModem; system32\DRIVERS\lgx64modem.sys [X] Task: {00C20AA7-7F70-40CB-83FB-C7A54D29BA72} - System32\Tasks\{EDBBD858-3159-440B-B6BE-23BF6A461911} => C:\FRST64.exe Task: {01B46222-7713-4848-B050-3A6236313543} - System32\Tasks\{A1F06B1A-E3D9-4100-9D43-4DE9B5D9A3AE} => pcalua.exe -a C:\Users\magic\Desktop\pbsetup.exe -d C:\Users\magic\Desktop Task: {12074A9B-7D25-4DE8-BD50-9F80C198C551} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {1EBA1010-ED08-4BBC-B6DE-311F41CE0786} - System32\Tasks\{957612DC-DB3D-4FD4-89DF-FCC8110F2976} => pcalua.exe -a C:\Users\magic\Downloads\irfanview_plugins_436_setup.exe -d C:\Users\magic\Downloads Task: {275F4128-0F95-4E2A-9D31-9538DA5108D3} - System32\Tasks\{C077FCC1-C6BA-4236-B483-5BC500EA5EC5} => pcalua.exe -a E:\Setup.EXE -d E:\ Task: {364E69BF-911A-44CD-AE37-8A116239308B} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-02-17] (AVAST Software) Task: {486FAF54-EA4E-4B5B-B0F4-642BC48944F5} - System32\Tasks\{6EB28146-E47E-4D9B-A782-9AD81BBE560D} => pcalua.exe -a C:\Users\magic\Desktop\pobór\GTA_Vice_City_-_spolszczenie\GTA_Vice_City_-_spolszczenie\Kopia\Vice.exe -d C:\Users\magic\Desktop\pobór\GTA_Vice_City_-_spolszczenie\GTA_Vice_City_-_spolszczenie\Kopia Task: {49783F7B-3DD5-496C-8757-CA3556759248} - \Program aktualizacji online firmy Adobe. -> Brak pliku Task: {522E0727-578C-4F61-8891-E082E15F59AB} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: {52657C85-BADE-4673-AD57-27C06F0D5191} - System32\Tasks\{5497C09E-A5ED-435C-A6F2-B0F68B81403C} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.13.80.101/pl/abandoninstall?page=tsBing Task: {542600E3-0B17-447E-B5BC-65F2080D5BDF} - System32\Tasks\{DC7726CE-20BA-404A-8E20-53514C51FA44} => C:\Users\magic\Downloads\setup_Exiso_GUI_US.exe Task: {55A995CB-5622-4245-A2A5-6A89BF76734C} - System32\Tasks\{4B5F7559-6747-4B9D-8B9F-6508CDCEA471} => pcalua.exe -a "C:\z rapid\Crysis_2-FLT\AutoRun.exe" -d "C:\z rapid\Crysis_2-FLT" Task: {5EFC9DA5-08CC-42EF-BF01-BD86F3F027BB} - System32\Tasks\{D7B87AD7-0283-4FB0-AB6A-6CC3162D4399} => C:\FRST64.exe Task: {6D22A0FD-7600-4274-BF99-EA231E0ED9AD} - System32\Tasks\{F45D46BF-DC2C-48CD-A966-D3A3501C2A79} => C:\Program Files (x86)\AVG\Framework\Common\avguix.exe [2016-04-14] (AVG Technologies CZ, s.r.o.) Task: {884CEF7D-AB54-4F59-8DA2-43AF30A378BC} - System32\Tasks\{8E8A03AE-0B33-404A-A2D9-91237398A055} => pcalua.exe -a "C:\Users\magic\Downloads\avast_free_antivirus_setup_online (1).exe" -d C:\Users\magic\Downloads Task: {88FE7816-ECDE-4AEF-A082-CA6C7C3511C8} - System32\Tasks\{54F8B335-3DB7-4152-A6CE-6C7B982EA979} => pcalua.exe -a C:\Users\magic\Downloads\FreeRapid-0.86u1\FreeRapid-0.86u1\frd.exe -d C:\Users\magic\Downloads\FreeRapid-0.86u1\FreeRapid-0.86u1 Task: {8A71CC34-C857-4D57-BE48-6C85507142B9} - System32\Tasks\{98DBCFA9-57A5-4BAD-AB47-246BA316530B} => pcalua.exe -a "C:\Users\magic\Downloads\Demolition Racer (FULL)\SETUP.EXE" -d "C:\Users\magic\Downloads\Demolition Racer (FULL)" Task: {9C462641-7D33-4ED4-9185-6EDE8BD7D12D} - System32\Tasks\{C24EBFD3-98E0-4546-B3EE-D8294A311E55} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?page=tsProgressBar Task: {9D99512A-563E-4B34-98AC-F90C52F7F113} - System32\Tasks\{FC4B5C18-8F4E-4EE7-8058-FE0ECDA9F625} => pcalua.exe -a H:\MPlayerPortable(programery.pl)\MPlayerPortable(programery.pl).exe -d H:\MPlayerPortable(programery.pl) Task: {A5DF4716-FC08-46A8-AD2E-215CC19BC561} - System32\Tasks\{BEB8B5EF-2AC2-4CA6-82E5-ACFF224645A0} => pcalua.exe -a H:\fma-2.0-stable-setup.exe -d H:\ Task: {AB040FC0-A59C-41DD-941E-D490CBF3A0A5} - System32\Tasks\{626FE4CE-7F4E-4C5D-AB36-A349302FD96F} => C:\Riot Games\League of Legends\lol.launcher.exe [2014-04-17] () Task: {B37B8D11-4308-4100-96EB-57C7FD609C40} - System32\Tasks\Games\UpdateCheck_S-1-5-21-2171826380-3074024756-2947034106-1524 Task: {B4371971-1B1F-4BCF-B022-400269C21C24} - System32\Tasks\{731D567B-DDF5-473A-BD78-5F7CE5845F8B} => pcalua.exe -a C:\Users\magic\Desktop\instal\j.c.2.2010.rld\steambackup\steambackup.exe Task: {BAFD1E77-9AB7-45A9-BD20-5722C326E39D} - System32\Tasks\{228DE689-2906-435E-B5B4-8E9698BBD14A} => pcalua.exe -a "C:\Users\magic\Downloads\AdwCleaner_www.INSTALKI.pl (1).exe" -d C:\Users\magic\Downloads Task: {BB24C2B6-2A48-44AB-8B81-4A7DA07405EF} - System32\Tasks\{51D1ED7F-ACDD-4886-BA71-59E3E8114BBB} => pcalua.exe -a C:\ProgramData\LGMOBILEAX\LGMLauncher.exe -d C:\ProgramData\LGMOBILEAX Task: {BE848987-7B7F-4B13-9B2F-FC32A005F4E4} - System32\Tasks\DMREngine => C:\Program Files (x86)\Acer\clear.fi\MVP\.\Kernel\DMR\DMREngine.exe [2011-05-20] (CyberLink) Task: {CA3B9EE4-1F70-44F4-A119-96ED1CF5371D} - System32\Tasks\{14AA5547-1593-4C8E-81BC-E3E13D84E5ED} => pcalua.exe -a "C:\Users\magic\Downloads\irfanview_plugins_436_setup (1).exe" -d C:\Users\magic\Downloads Task: {CBD172B2-00C4-473C-9CAE-56DA92BB8568} - System32\Tasks\{BC1BB489-E832-46B4-9F13-6D59D93C3FAF} => C:\Program Files (x86)\Burrrn\Burrrn.exe [2005-10-19] (Gambit (burrrn@burrrn.net)) Task: {D2AD6117-DF78-4210-875F-458C7261CF03} - System32\Tasks\{AD79EA2F-E080-469E-9218-CE77350BAF7B} => pcalua.exe -a C:\Users\magic\Downloads\avast_free_antivirus_setup_online.exe -d C:\Users\magic\Downloads Task: {DB02A8A3-FD86-4D97-A258-48FB679EE1A0} - System32\Tasks\{ADD0CBB0-AB60-4DAC-9497-69F87A60BA2D} => pcalua.exe -a "C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152\Installer\setup.exe" -d "C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152" -c --register-chrome-browser="C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" Task: {DF976769-7811-49FE-937A-1AFCCCF9CA50} - System32\Tasks\{956F671E-2A9E-4B2C-BA72-D16AC582056D} => pcalua.exe -a C:\Windows\TEMP\avast_ash\IrfanView\iview436_setup.exe -d "C:\Program Files\AVAST Software\Avast" Task: {E5D17C33-3711-4999-8363-D69F135D82C5} - System32\Tasks\{9F180B74-CBD2-4AC6-8488-064CD6236D8A} => pcalua.exe -a C:\Users\magic\Downloads\iview437_setup.exe -d C:\Users\magic\Downloads Task: {F3D8B318-4562-45BE-818F-B4878BB70CDD} - System32\Tasks\{348759E0-9D0A-49FF-B566-DE9542CE78AA} => C:\FRST64.exe Task: {F9A5BC34-5CCB-484D-90F6-2811A7317E5A} - \Adobe Flash Player Updater -> Brak pliku Task: {FDCD3AFA-060B-4DDC-AB59-1F54CD86703A} - System32\Tasks\{763B4570-DF7E-4525-B793-6549D7219D76} => C:\Program Files (x86)\Activision\Madagaskar\Game.exe [2005-07-01] () Task: {FE6659F7-FB76-49DF-AE68-B85D243F6258} - System32\Tasks\{AD07944A-E799-4DA2-B2B2-A22325A0435F} => pcalua.exe -a C:\Users\magic\Downloads\burrrn_package.exe -d C:\Users\magic\Downloads HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-2171826380-3074024756-2947034106-1000\...\Policies\Explorer: [HideSCAPower] 0 GroupPolicyUsers\S-1-5-21-2171826380-3074024756-2947034106-1004\User: Ograniczenia CHR HKU\S-1-5-21-2171826380-3074024756-2947034106-1000\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> search.mpc.am ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku BHO: Brak nazwy -> {82A76710-4F98-4957-92BE-99648A4E2475} -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com IE trusted site: HKU\S-1-5-21-2171826380-3074024756-2947034106-1000\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-2171826380-3074024756-2947034106-1000\...\webcompanion.com -> hxxp://webcompanion.com DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome.3ESBNRG4WIKSH6BYA7CJQ2DWZA DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TuneUp.UtilitiesSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DApp DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn GUI DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBAgent DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\.directory C:\Program Files\AVAST C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\Lavasoft C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\MPC Cleaner C:\ProgramData\PCM.log C:\ProgramData\AVAST Software C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\Lavasoft C:\ProgramData\Microsoft\Windows\GameExplorer\{9AE8BE5A-BA7A-43E8-ABB8-9089AF842B98} C:\ProgramData\Microsoft\Windows\GameExplorer\{F69C656D-D491-41C5-87E5-7F2F5D82D1D9} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\LogMeIn Hamachi.lnk C:\Users\Gość\Desktop\gry\AutoRun.exe — skrót.lnk C:\Users\Gość\Desktop\gry\LogMeIn Hamachi.lnk C:\Users\Gość\Desktop\gry\rzeczy związne z grami\ET — skrót.lnk C:\Users\Gość\Desktop\Różne\Pulpit-ania — skrót.lnk C:\Users\Gość\Desktop\Różne\Pliki\Ad-Aware Antivirus.lnk C:\Users\Gość\Desktop\Różne\Pliki\AMR to MP3 Converter.lnk C:\Users\Gość\Desktop\Różne\Pliki\Ashampoo Burning Studio FREE.lnk C:\Users\Gość\Desktop\Różne\Pliki\avast! Free Antivirus.lnk C:\Users\Gość\Desktop\Różne\Pliki\LogMeIn Hamachi.lnk C:\Users\Gość\Desktop\Różne\Pliki\Nokia Suite.lnk C:\Users\Gość\Desktop\Różne\Pliki\Samsung Kies (Lite).lnk C:\Users\Gość\Desktop\Różne\Pliki\Samsung Kies.lnk C:\Users\Gość\Desktop\Różne\Pliki\*Torrent.lnk C:\Users\magic\AppData\Local\{57BB0BF2-989E-46D5-AF94-1B65C091E4A2} C:\Users\magic\AppData\Local\LogMeIn Hamachi C:\Users\magic\AppData\Local\Sunbelt Software C:\Users\magic\AppData\LocalLow\Spyware Terminator C:\Users\magic\AppData\Roaming\MCorp C:\Users\magic\AppData\Roaming\Opera Software C:\Users\magic\AppData\Roaming\Spyware Terminator C:\Users\magic\AppData\Roaming\Ultimate Codec Packages C:\Users\wangzhisong C:\Windows\system32\%LOCALAPPDATA% C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\SBREDrv.sys C:\Windows\SysWOW64\Number of results C:\Windows\SysWOW64\rp_rules.dat C:\Windows\SysWOW64\rp_stats.dat C:\Windows\SysWOW64\ws.db RemoveDirectory: C:\Users\Ania RemoveDirectory: C:\Users\Ania~pc RemoveDirectory: C:\Users\Gość1 RemoveDirectory: C:\Users\TEMP RemoveDirectory: C:\Users\TEMP.pc CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Dzienniki systemu: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń gałąź Dzienniki systemu Windows i z prawokliku Wyczyść Aplikacja oraz System. Następnie rozwiń Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawoliku wyczyść Operational. Po czyszczeniu Dzienników zresetuj system, by nagrał nowe błędy. 5. Zrób nowy log FRST z opcji Skanuj (Scan) na następujących ustawieniach: pola Usługi + Sterowniki ODZNACZONE, pole Addition ZAZNACZONE. Dołącz też plik fixlog.txt.

ComboFix nie nadaje się do rozwiązywania takich spraw. Dostarcz raporty z FRST: - Jeśli system "zaskoczy" za którymś razem, zrób logi spod Windows: KLIK. - Jeśli system nie startuje, zrób log FRST spod RE: KLIK. Niezależnie od tego który wariant wybierzesz, prócz zalecanej w opisie FRST konfiguracji zaznacz pozycję Lista BCD.

Trzeba będzie usunąć ten zmodyfikowany folder. Konto zostało już wyłączone, więc będzie to można zrobić. Ale to nie takie istotne, potem podam co i jak. Nic nie kombinuj ręcznie. Czyli z tego by wynikało, że usterka jest jednak globalna, bo widzę we wcześniejszym poście, że wspominałeś, iż nagle na Administratorze też przestało działać. Poproszę o kopię rejestru do wglądu. Ta utworzona przez FRST pochodzi sprzed wielu manipulacji tu już prowadzonych, więc wygeneruj nową za pomocą narzędzia RegBak. Folder z kopiami plików rejestru spakuj do ZIP, shostuj gdzieś i podaj link do paczki. Analiza tego może zająć dużo czasu, nie obiecuję nic.

Na temat używania ComboFix: KLIK. Log z narzędzia już zostaw. Log wskazuje że narzędzie nic ciekawego nie robiło i zostało uruchomione niepotrzebnie. I ten raport jest mierny, nie da się ocenić stanu systemu w pełni. Zasady działu jakie dane się dostarcza: KLIK. Czyli proszę opisz z czym masz problem, dlaczego był uruchamiany ComboFix, oraz dostarcz wymagane działem logi z FRST i GMER.

Logi z FRST zostały zrobione z poziomu niewłaściwego konta, czyli wbudowanego w system Administratora, a nie konta Właściciel, co oznacza, że w raporcie nie widać określonej zawartości. Nie opisałeś też na czym polega problem z deinstalacją (błędy czy nie możesz się zorientować jaki chiński przycisk do czego służy). Wstępne działania do przeprowadzenia: 1. Wejdź w Tryb normalny na konto Właściciel i przez Dodaj/Usuń programy odinstaluj DAEMON Tools Toolbar, Java 7 Update 55, WinZip, 电脑管家11.5. Ten WinZip to fałszywka. Jeśli czegoś rzeczywiście nie będzie się dało odinstalować normalną drogą, zostanie potem przeze mnie doczyszczone ręcznie. 2. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition z poziomu konta Właściciel.

Nie wiem jakim cudem może być "znacznie lepiej", skoro skrypt nic nie wykonał i żaden obiekt nie został usunięty. Proszę otwórz plik Fixlog i porównaj z Fixlist zadanym przeze mnie. Nie wiem w jaki sposób przeklejałeś skrypt z posta do Notatnika, ale zniszczyłeś formatowanie skryptu - wyzerowałeś wszystkie znaki specjalne (slesze i dwukropki), w rezultacie żadne z wejść nie zostało przetworzone. Powtarzaj punkty 2 i 3 z poprzedniej instrukcji.

To może być fałszywy alarm, ale nie zaszkodzi plik usunąć. A Hitman możesz sobie zostawić do skanów na żądanie w przyszłości lub odinstalować. Na koniec trzy akcje: skorzystaj z DelFix, wyczyść foldery Przywracania systemu, zaktualizuj Adobe Flash Player PPAPI (wersja dla Opery). Wszystkie operacje opisane w przyklejonym: KLIK.

Po inwazji prawie nic widocznego nie zostało, jedno martwe zadanie w Harmonogramie i jeden martwy wpis w folderze Autostart oraz odpadki po tych chińskich softach do ROMów, co nie powinno mieć wpływu na start i zamykanie systemu. O wiele większe podejrzenia budzi matactwo aktywacji i aktywnie ładowane komponenty cracka KMS-R@1n.exe, który startuje z trzech miejsc i wykonuje na dodatek jakieś niesprecyzowane komendy wmi. Crack ten generuje zresztą te błędy w Dzienniku zdarzeń: Dziennik Aplikacja: ================== Error: (05/01/2016 03:52:58 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0xC004F074 Argumenty wiersza polecenia: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=73111121-5638-40f6-bc11-f1d7b0d64300;NotificationInterval=1440;Trigger=UserLogon;SessionId=1 Error: (05/01/2016 03:52:50 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0xC004F074 Argumenty wiersza polecenia: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=73111121-5638-40f6-bc11-f1d7b0d64300;NotificationInterval=1440;Trigger=NetworkAvailable Czyli tu moim zdaniem trzeba zacząć od zdjęcia tego cracka. Oczywiście te szczątki chińskich softów i inne też zostaną zaadresowane, ale nie wygląda, by one miały jakiś wpływ na stan obecny. Wstępnie: 1. Użyj deinstalator tego cracka, o ile posiadasz go i o ile crack ma taką opcję. Widoczne komponenty i tak zaadresuje poniższy skrypt do FRST. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-03-24] () [brak podpisu cyfrowego] IFEO\OSppSvc.exe: [Debugger] KMS-R@1nhook.exe IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nhook.exe Task: {4DF3E139-6CF9-4742-BC55-8C30534C7E6E} - System32\Tasks\R@1n-KMS\Windows64Enterprise => wmic Task: {AC398040-3632-4C2B-A2F3-F214370E30A5} - System32\Tasks\Holuge System => Rundll32.exe "C:\Program Files (x86)\Holuge\hlgSystem.dll",w DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\R@1n-KMS Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FZOCgcQLiOBfgSCUICF.lnk [2016-02-29] FirewallRules: [{773913B0-C635-4130-B227-040210A35F0B}] => (Allow) C:\Windows\KMS-R@1n.exe FirewallRules: [{DFD26E62-6C08-4E33-ABA6-BD6178C6C10B}] => (Allow) C:\Windows\KMS-R@1n.exe FirewallRules: [{5AE5CF19-21FF-4D25-9136-366400050415}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\131\tencentdl.exe FirewallRules: [{E0426F55-1962-4DD4-80B7-37C6505D2EFC}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\131\bugreport_xf.exe GroupPolicyScripts: Ograniczenia HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1585059127-2730434103-678098393-1002\...\Run: [GmailNotifierPro] => C:\Program Files (x86)\Gmail Notifier Pro\GmailNotifierPro.exe /minimized FF DefaultSearchEngine: hohosearch FF SelectedSearchEngine: hohosearch C:\Flashtool C:\Program Files (x86)\Holuge C:\Program Files (x86)\iRoot C:\Program Files (x86)\Kingo ROOT C:\Program Files (x86)\ROMasterLab C:\Program Files (x86)\PdaNet for Android C:\ProgramData\Tencent C:\Users\Arek\.android C:\Users\Arek\.flashTool C:\Users\Arek\.swt C:\Users\Arek\AppData\Local\AWSToolkit C:\Users\Arek\AppData\Local\Kingosoft C:\Users\Arek\AppData\Local\oneClickRoot C:\Users\Arek\AppData\Roaming\FZOCgcQLiOBfgSCUICF.au3 C:\Users\Arek\AppData\Roaming\KLgeFYabEfiGVZUIg C:\Users\Arek\AppData\Roaming\Kingosoft C:\Users\Arek\AppData\Roaming\mgyun C:\Users\Arek\AppData\Roaming\One Click Root C:\Users\Arek\AppData\Roaming\Tencent C:\Users\Arek\AppData\Roaming\zhuodashi C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ˢ»úרĽŇ(׿´óʦ).lnk C:\Users\Arek\Desktop\Vedia x55\*.lnk C:\Users\Arek\Downloads\zds_setup_OPDA.exe C:\Users\Public\Documents\dmp C:\Windows\KMS-R@1n.exe C:\WINDOWS\system32\Drivers\pneteth.sys C:\Windows\System32\Tasks\R@1n-KMS Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "PdaNet Desktop.lnk" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GoogleChromeAutoLaunch_0A01E58E7C4A04A5C96F62A2ABF82ADB /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GmailNotifierPro /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AdobeCEPServiceManager /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy są pozytywne zmiany.

Do usunięcia wszystkie wyniki z grupy "Potential Unwanted Programs" oraz "Cookies". Natomiast nie jestem pewna pliku C:\Users\tom615\Desktop\TSO\TSO_Tools\Updater.exe wykrytego jako malware. Jakie jest pochodzenie tego pliku? Rzuć go na VirusTotal i podaj link do rezultatów skanowania.

Jeśli chodzi tylko o wątek obciążenia procesora podczas pracy Windows Update, to zdaje się to być obecnie "normalne". Co dopiero aktualizowałam jedną z moich zaniedbanych nieco wirtualnych maszyn z Windows 7. Po wyzerowaniu SoftwareDistribution wyszukiwanie aktualizacji trwało cały dzień, svchost hostujący usługę Windows Update non-stop na 100%. Ale wszystko zostało prawidłowo wykryte, pobrane i zamontowane. Czyli w Twoim temacie pod uwagę tylko nie zdiagnozowany jeszcze w pełni wątek niemożności instalacji określonych aktualizacji.

Ten skrypt do FRST również pomyślnie wykonany. Na wszelki wypadek zrób jeszcze skan za pomocą Hitman Pro i dostarcz wynikowy raport, o ile zostanie wykryte coś innego niż FRST jako "podejrzany plik" (fałszywy alarm).

Zabrakło pliku fixlog.txt z Pulpitu z wynikami przetwarzania skryptu. Niemniej już daruj sobie jego dostarczanie. Nowe logi FRST potwierdzają, że wszystko zostało wykonane. Drobne poprawki na szczątki po odinstalowanych programach: Otwórz Notatnik i wklej: HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) BootExecute: autocheck autochk * sdnclean64.exe Task: {BE9A2500-5A0F-4712-A4BA-B50880BCA680} - System32\Tasks\Driver Booster SkipUAC (tom615) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files (x86)\Trend Micro RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Catalyst RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warships RemoveDirectory: C:\Users\tom615\Doctor Web RemoveDirectory: C:\WINDOWS\System32\Tasks\Safer-Networking Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne. I wypowiedz się jak obecnie działa system.

Zadanie pomyślnie wykonane. Problem rozwiązany. Na koniec zastosuj DelFix. To wszystko.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut oraz GMER. Co do OTL i HijackThis: logi zbędne, to stare narzędzia produkujące mało wiarygodne dziś odczyty, nie mogą się równać ze skanem FRST (mnóstwo detekcji których brak w wymienianych). Na dodatek bez zgodności z nowymi systemami, a HijackThis w ogóle niepoprawnie pobiera dane z systemu 64-bit, który posiadasz. Nie dostarczyłeś raportu z MBAM pokazujące owe detekcje. W FRST widać infekcję DNS Unlocker uruchamianą komendą PowerShell w Harmonogramie zadań. Działania wstępne: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje, wątpliwe programy i przestarzałe skanery: Dll-Files Fixer, Driver Booster 2.4, HiJackThis, Java 8 Update 73 (64-bit), Java 8 Update 73, Java 8 Update 74 (64-bit), Java 8 Update 74, Java 8 Update 77 (64-bit), Java 8 Update 77, Spybot - Search & Destroy, Surfing Protection. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {01B58BD6-0D76-4563-BA27-21DAE77AE38F} - System32\Tasks\{ED2A85B2-4B28-46F1-95C8-CA1A672B5F87} => pcalua.exe -a "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\UninstallTips.exe" -d "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217" Task: {0D5872D0-F2D1-44D7-A0CA-8753AE7EC478} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {17BF3B3E-2E89-499A-8398-8DE0AA846522} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {21022C0B-E2CF-4248-86C4-133B61181727} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {364725D7-83B7-45AD-AD46-85A639B1BCD9} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {3E9BB500-162D-45ED-8D4D-F4754B29E294} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {3F8720E9-C610-489D-BBDE-FB1C56BBB081} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {5AFAA844-2A3C-4BCF-8B67-1733860E02D1} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {5D1FFADD-A213-49AA-BFD8-376DD3C2FE8E} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {5D3F9B3E-36E5-4DD2-9366-9ED0E5442CF3} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {5D5C217C-AD64-46B6-92B4-68D49403B1CE} - System32\Tasks\{85F4D989-B896-435E-863B-893BAA1FD4FC} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Rantouch\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Rantouch\uninstall.dat" -a uninstallme 1CDA7986-8F56-4418-A43C-381D0DC91384 DeviceId=8b648fd8-0dde-9d5e-4067-f2349d35fd02 BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet Task: {5E4000D7-6727-4069-84FF-EE1CDC0D6376} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {616065C6-4707-4FC1-AC13-315CDD6E2CB0} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {658CC27F-AD78-4BD8-9454-70565045332B} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {6B0B87C7-AF8F-476A-BFAA-3B411774961D} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {7227DB06-B1BE-42E3-9BD9-8E9172EAAF0E} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {77F4D78C-AE90-4F2D-A100-A33A1C17C385} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {909B3095-EC62-42DA-9DAA-C0D4B6D5AB3F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {92992DAD-8C8E-4976-B849-4DA6B37CE97F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {9450DC01-415D-4E7F-8702-E65302E6AD14} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {9567D6DB-710E-4C17-B9C5-0A765B9D7FA1} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {96CC64B8-A871-4C7B-9F2F-BBA3E7730CE0} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {AB2A297D-0DAE-41CD-B66E-E1BA1F703BD9} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {AD8E5205-9D74-4BD7-9B51-DAEAED9E8368} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {BBE0278E-AF83-4E81-8089-4FCF856818DC} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {BF91B31E-51C3-46CC-9CAB-5FEF2BBE676B} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {C4D17835-C69C-4706-B8DA-7DBD8CEFDE34} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C9DB2C1A-7CBB-46CF-8EB3-E8424592A925} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {CDAA2B66-74D7-490B-9DBD-EB215FC27EFA} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {CE07150B-944D-4FD2-8CE5-1D5A0F90DF0B} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {D7EFA217-8419-460F-8225-585C7CF47F50} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {DE778AA5-55DB-43F8-96B4-7665655B1FAB} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {DFAA31CD-E4E3-4815-9AC9-DF5338D95EA0} - System32\Tasks\{790C0B47-097A-797E-0C11-0A08090A110C} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgADsAIAA7ACAAOwA7ACAAOwAgACAAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4A (dane wartości zawierają 9352 znaków więcej). Task: {EEA1FE53-391C-4F7F-AAB2-88C0C407D8FA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {EEBF592F-577A-4F42-A778-BCA77617925C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {FDDCEF02-7D66-458E-8B1A-F6F460306850} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-01-30] () S3 cpuz138; \??\C:\Users\tom615\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S3 esgiguard; \??\C:\Program Files\SpyHunter\esgiguard.sys [X] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKU\S-1-5-21-3274260535-2468400652-3968369242-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\pproupd DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\QQPCRTP DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\QQRepairFixSVC DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\rowugoqo DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\sikerewizbt DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains CMD: ipconfig /flushdns CMD: netsh advfirewall reset C:\extensions C:\shldr C:\shldr.mbr C:\ProgramData\136428 C:\ProgramData\136528 C:\ProgramData\89097884600a62f8b1eb02acdfe3fc804563b2ce C:\ProgramData\InstallMachine C:\ProgramData\Orbit C:\ProgramData\TEMP C:\ProgramData\Thunder Network C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4 C:\Users\Public\Thunder Network C:\Users\Public\Documents\dmp C:\Users\tom615\AppData\Local\Chromium C:\Users\tom615\AppData\Local\Sparta C:\Users\tom615\AppData\Roaming\*.* C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP C:\Windows\ehome C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\TAOKernelEx64.sys C:\Windows\system32\Drivers\etc\hosts.*.backup C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\Windows\SysWOW64\clientmon.exe.config Zip: C:\Users\tom615\AppData\Roaming\Opera Software\Opera Stable\Preferences Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj rozszerzenie bez nazwy, o ile jest widoczne. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Ponadto, na Pulpicie powstanie plik upload.zip - ten shostuj na jakimś zewnętrznym serwisie i podaj link do paczki.

Spróbuj przywrócić rejestr używając kopię RegBak. Ona wydaje się ciut starsza niż usterka, gdyż jeszcze dzień później na Pulpicie użytkownik utworzył własne foldery (czyli miał dostęp do systemu): LastRegBack: 2016-04-14 22:14 vs. 2016-04-15 01:01 - 2016-04-15 01:02 - 00000000 ____D C:\Users\User\Desktop\101NIKON 2016-04-15 01:01 - 2016-04-15 01:01 - 00000000 ____D C:\Users\User\Desktop\100NIKON1 2016-04-15 01:00 - 2016-04-15 01:00 - 00000000 ____D C:\Users\User\Desktop\zd 2016-04-15 00:59 - 2016-04-15 00:59 - 00000000 ____D C:\Users\User\Desktop\zakopiec 2016-04-15 00:46 - 2016-04-15 00:47 - 00000000 ____D C:\Users\User\Desktop\laguna Załaduj do FRST skrypt o postaci: LastRegBack: 2016-04-14 22:14 Przedstaw wynikowy fixlog.txt. Opowiedz o wynikach.

Sugestie: 1. Odinstaluj AVG Web TuneUp. To zbędny program przemycany przez instalator AVG, wykonujący modyfikacje preferencji przeglądarek. Przy okazji, czy problemy z muleniem nie pojawiły się ogólnie po instalacji AVG? Wg raportu co dopiero aktualizowały się conajmniej niektóre komponenty AVG. 2. Objawy przy otwieraniu folderów: jest zainstalowany majdan Autodesk, który m.in. zarejestrował nakładkowe ikony na plikach. Sprawdź co się stanie po deaktywacji tego modułu. Tzn. uruchom ShellExView x64, dwuklik na kolumnę Type by pogrupować w bloki te same typy. W bloku typu Icon Overlay Handler wyszukaj wpis odnoszący się do AcSignIcon.dll i z prawokliku wyłącz go. Po operacji zresetuj system. ShellIconOverlayIdentifiers: [AutoCAD Digital Signatures Icon Overlay Handler] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => C:\Windows\system32\AcSignIcon.dll [2013-02-08] (Autodesk, Inc.) 3. W Dzienniku zdarzeń powiela się błąd produkowany przez wpis AMD. Uruchom Autoruns w karcie Logon odznacz AMD AVT. HKLM-x32\...\Run: [AMD AVT] => C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe [20992 2012-03-19] () Dziennik Aplikacja: ================== Error: (04/30/2016 03:04:09 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: kdbsync.exe, wersja: 0.0.0.0, sygnatura czasowa: 0x4f67a718 Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000 Identyfikator procesu powodującego błąd: 0x4c0 Godzina uruchomienia aplikacji powodującej błąd: 0xkdbsync.exe0 Ścieżka aplikacji powodującej błąd: kdbsync.exe1 Ścieżka modułu powodującego błąd: kdbsync.exe2 Identyfikator raportu: kdbsync.exe3

Na koniec zastosuj DelFix.

A po to to jest, by sprawdzić czy sprawa jest tylko na poziomie konta / kont podobnego typu a nie globalna, bo konto Asus może być uszkodzone, mogą być takie naruszenia, których naprawa jest nieopłacalna lub nie będzie możliwa. Na dodatek robiłeś bardzo dziwne operacje na tym koncie: Z tego co rozumiem kopiowałeś jakieś pliki z wbudowanego Administratora do konta Asus, to kopiowanie "włącznie z Appdata" wygląda bardzo podejrzanie. Stan poprawności konta Asus jest teraz nie do potwierdzenia, nie wiadomo co nadpisałeś. A ustawienia UAC nie są trzymane w folderach na dysku. Proszę o jasną odpowiedź, czy obecnie będąc zalogowanym na koncie Open (a nie Asus) występuje problem z przestawianiem się UAC. Jeśli nie, to uważam, że komplikujesz sprawy próbując naprawić konto które nie działa poprawnie. Generalnie na razie wysunęłam takie wnioski na temat tego UAC: Wygląda to na problem osadzony po stronie konta Asus lub kont tego samego typu (dlatego drążony tu jest wątek nowego konta), a odczyt z narzędzi sugeruje brak uprawnień do klucza lub inną usterkę tego poziomu uniemożliwiającą otworzenie klucza. Klucz ustawień UAC jest globalny (HKLM), czyli jego zawartość jest prezentowana identycznie dla każdego konta, które ma uprawnienia, by go odczytać. Klucz wyglądał z poziomu dwóch różnych kont inaczej: wbudowany Administrator go widział poprawnie jako pełny, ale konto Asus widziało klucz jako "pusty". Klucz nie może być pusty, skoro jedno z kont widziało jego zawartość i ma działający UAC. Wnioski: konto Asus nie może się dostać do zawartości klucza. Nie wiadomo dlaczego, czy jest to problem uprawnień konta czy też uszkodzenia tego konta. Na razie to podaj dane o uprawnieniach klucza, tzn. z poziomu konta Asus: Do Notatnika wklej: ListPermissions: HKLM\SOFTWARE\Microsoft ListPermissions: HKLM\SOFTWARE\Microsoft\Windows ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System CMD: net user Asus Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. PS. A problemu WMI w ogóle nie zanalizowałam jeszcze.

Jeśli rzeczywiście figurował napis "przygotowywanie do...", to Fix FRST nawet nie zaczął się wykonywać. Sprawa bardzo tajemnicza. Czy na pewno ten efekt występuje też po restarcie systemu? Raz coś podobnego mi się zdarzyło z FRST i po restarcie wszystko wróciło do normy. Jeśli to jednak nie jest ten rodzaj defektu, to podejrzenia nasuwa ta długa praca wcześniejszego Fixa FRST - mógł nastąpić rekursywny reset uprawnień w ścieżkach C:\Users... Jeśli chodzi o ostatnią partię czynności, to wszystko poszło gładko. Po przyznaniu uprawnień do katalogu WMI Dziennik zdarzeń wrócił do formy. Jeszcze drobne poprawki: 1. Otwórz Notatnik i wklej w nim: AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B} AS: avast! Antivirus (Enabled - Up to date) {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736} Task: {6C27D78B-0173-4FA0-A2D1-671213A97043} - System32\Tasks\{E4AE5714-5576-4A22-92A7-B41739B18B4C} => C:\Program Files (x86)\Super Cyborg - Steam Edition\Super Cyborg.exe Task: {7E0276F0-B3BE-4DBA-9AAE-BF08F89C4933} - System32\Tasks\{C1B01579-8AC8-428E-A0AE-2CC3E05C7B0F} => C:\Program Files (x86)\Super Cyborg - Steam Edition\Super Cyborg.exe Task: {E7222012-81E6-49B0-A8D1-7057F9F44C26} - System32\Tasks\{29F1E356-D161-4B42-B31A-05B5DA837014} => C:\Program Files (x86)\Super Cyborg - Steam Edition\Super Cyborg.exe Task: {F91BDDDD-2D81-40F3-9A53-4A15B3C9D708} - System32\Tasks\{B40AE628-83BA-4B63-BAE6-FA1688F6C265} => C:\Program Files (x86)\Super Cyborg - Steam Edition\Super Cyborg.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Wyczyść Dziennik zdarzeń ze starych błędów. Start > w polu szukania wklep eventvwr.msc > z prawokliku Uruchom jako Administrator. W gałęzi Dzienniki systemu Windows z prawokliku wyczyść Aplikacja i System. 4. I obecnie Kaspersky nie jest poprawnie zarejestrowany w Centrum zabezpieczeń Windows. By Centrum go wykryło, trzeba będzie potem przeinstalować program, ale to jest raczej "szczegół".

Właśnie "LAN" trzeba ustawić ręcznie. Wszystko wygląda OK w raportach. Jeszcze drobne działania dodatkowe: 1. Poprawka na puste wpisy. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software HKU\S-1-5-21-318038007-921987228-2979523656-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Kinia\AppData\Local\Akamai\netsession_win.exe" ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Kinia\AppData\Roaming\Dropbox\bin\DropboxExt.34.dll No File ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Kinia\AppData\Roaming\Dropbox\bin\DropboxExt.34.dll No File ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Kinia\AppData\Roaming\Dropbox\bin\DropboxExt.34.dll No File S3 WinRing0_1_2_0; \??\D:\Game Booster 3\Driver\WinRing0x64.sys [X] CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms} CHR DefaultSearchKeyword: Default -> bing.com DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST zaś niesą potrzebne. 2. Były wcześniej także ślady adware, więc uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

mallach, nie wiadomo co konkretnie zostało uszkodzone w rejestrze, bo raport SpyHunter może nie odpowiadać temu co rzeczywiście usunięto. W raporcie FRST są tylko pośrednie ślady, że conajmniej rozwalono klasy Windows, niestety FRST ogranicza skan tylko do wybranych punktów i owe odczyty nie dają informacji jak daleko posunięto się w tym obszarze oraz co jeszcze zmalowano w innej partii rejestru. Opisywane objawy sugerują, że naruszone jest więcej niż klasy, bo "Microsoft Windows" to ekran ładowania sterowników. Tu wypadałoby przywrócić poprzednią postać rejestru, tylko ciężka sprawa z kopiami zapasowymi. System nie ma w ogóle punktów Przywracania systemu, ani żadnych znaków, że zrobiono dodatkową kopię jakimś narzędziem. W tej sytuacji jedyna możliwość to przywrócenie fabrycznego rejestru (o ile w ogóle istnieje) z folderu Repair pozbawionego jakichkolwiek wtórnych instalacji. Na dysku widać jakąś kombinację z plikiem rejestru SYSTEM, replika z suffiksem "old". Czy wiesz w jaki sposób ten plik został wygenerowany? Czy data jego utworzenia to już czas po uszkodzeniu systemu? 2016-04-29 00:10 - 2012-10-31 04:06 - 19660800 _____ C:\Windows\System32\config\systemold Na początek podaj mi spis plików rejestru. Przygotuj w Notatniku plik o treści: Folder: C:\Windows\Repair Folder: C:\Windows\system32\config Zapisz pod nazwą fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Na przyszłość: raporty FRST nie do końca skonfigurowane wg wytycznych forum, opcje MD5 sterowników i Lista BCD nie miały być zaznaczone. Rozwiń proszę wątek "widać wyraźnie że komputer, a właściwie przeglądarka nie działa tak jak powinna", tzn. o jakich konkretnie zachowaniach mowa. W tytule jest "zamula", ale kiedy / podczas jakich operacji / jak to w zasadzie wygląda. W podanych raportach FRST nie widać już aktywnych obiektów adware, tylko nieczynne szczątki, które nie mają wpływu na działanie systemu. Jeśli coś "zamula", problem jest w czym innym, a nie infekcji. Np. świeżo doinstalowany Kaspersky Internet Security może mieć coś do rzeczy. Na razie doczyszczanie odpadków. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Utatity\Greensuntom.dll => Brak pliku S2 Kownofaj; "C:\Users\core2duo\AppData\Roaming\KucqatLyp\Fiobo.exe" -cms [X] Task: {01166FC5-E5CB-4FA1-8FD0-E19B0EEFE23F} - System32\Tasks\{6F9DA065-2348-48F8-B71C-0FE9CAD50CD1} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Tree-Tax\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Tree-Tax\uninstall.dat" -a uninstallme 423723BD-C1E0-489C-BB53-22BB3CC9B82F DeviceId=c76f6f0b-cb5b-babc-3eb6-15e8b360bc74 BarcodeId=51113011 ChannelId=11 DistributerName=APSFTuto4PC Task: {8F5742CD-82B1-45CB-9BA3-2FCBFD391C40} - System32\Tasks\Eavup => C:\Program Task: {CE0631D0-D03A-4CCA-9E9C-7E56E01EE337} - System32\Tasks\{F099D3CD-40CA-4C10-BC97-28BD03C48A6C} => pcalua.exe -a C:\dzwiek\Setup.exe -d C:\dzwiek Task: {D0928227-2D9B-4CBF-ADB5-E067D0C39877} - System32\Tasks\Jaupkoe => C:\Program HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia C:\Users\core2duo\AppData\Roaming\*.* C:\Users\core2duo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\*.lnk C:\Users\Public\Desktop\YAC Desktop.lnk C:\Users\Public\Desktop\YacWifi.lnk Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Te wyniki GMER nie wyglądają na rzeczywistą infekcję tylko fałszywy alarm. Są wykrywane specyficzne usługi Windows 10 z grupy Unistack, usługi są domyślne i poprawne. Zobaczysz je w Menedżerze zadań, końcowe partie nazwy są losowane i zmienne: W raportach FRST również nie notuję żadnych oznak infekcji. Poboczna uwaga: w Firefox jest NoScript i uBlock Origin. Ten pierwszy nie jest nawet potrzebny, uBlock można ustawić, by zastąpił jego działanie: KLIK.