picasso

Nareszcie dostarczyłeś poprawne logi. Zadane wcześniej operacje pomyślnie wykonane. Nie wypowiadasz się jednak czy jest jakaś poprawa w działaniu systemu / Google. Konkretnie się wypowiedz czy są jakieś problemy obecnie. Teraz do wykonania drobne poprawki na błędy i odpadkowe śmieci. Działania do wykonania: 1. Błędy w Dzienniku zdarzeń: Error: (04/26/2016 08:45:23 AM) (Source: SNMP) (EventID: 1500) (User: ) Description: Usługa SNMP napotkała błąd podczas dostępu do klucza rejestru SYSTEM\CurrentControlSet\Services\SNMP\Parameters\TrapConfiguration. Masz zainstalowany w Windows niedomyślny komponent Simple Network Management Protocol (SNMP). Czy w ogóle z tego korzystasz? Jeśli nie, to: Panel sterowania > Programy i funkcje > Włącz lub wyłącz funkcje systemu Windows > odznacz pozycję Protokół SNMP > zresetuj system. Error: (04/26/2016 09:30:33 AM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Uruchom narzędzie Fix-it z tego artykułu: KLIK. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Doczyszczanie szczątków po programach. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2286393275-2221825981-1864126036-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) BootExecute: autocheck autochk * sdnclean64.exe Task: {E513FC92-A88E-4472-A2E6-7274AAFB0220} - System32\Tasks\{224EFD0A-21E9-4782-96DB-86670F3B988D} => pcalua.exe -a "C:\Program Files (x86)\Lavasoft\AD-AWA~1\UNWISE.EXE" -c C:\Program Files (x86)\Lavasoft\AD-AWA~1\INSTALL.LOG Task: {EE1C6C7C-913A-44B5-B909-60CD58CAD929} - System32\Tasks\Driver Booster SkipUAC (Krzysiek) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: C:\Windows\Tasks\Check for updates (Spybot - Search & Destroy).job => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe Task: C:\Windows\Tasks\Refresh immunization (Spybot - Search & Destroy).job => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe Task: C:\Windows\Tasks\Scan the system (Spybot - Search & Destroy).job => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S1 SMR501; \SystemRoot\System32\drivers\SMR501.SYS [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SMR501 => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SMR501.SYS => ""="Driver" HKU\S-1-5-21-2286393275-2221825981-1864126036-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2286393275-2221825981-1864126036-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2286393275-2221825981-1864126036-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku FF Homepage: hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MBAMScheduler DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MBAMService DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google RemoveDirectory: C:\NPE RemoveDirectory: C:\Program Files (x86)\IObit RemoveDirectory: C:\Program Files (x86)\Malwarebytes Anti-Malware RemoveDirectory: C:\Program Files (x86)\PC Tools RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98} RemoveDirectory: C:\ProgramData\F-Secure RemoveDirectory: C:\ProgramData\IObit RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\ProgramData\PC Tools RemoveDirectory: C:\ProgramData\SMR501 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft Ad-Aware SE Personal RemoveDirectory: C:\SUPERDelete RemoveDirectory: C:\Users\admin RemoveDirectory: C:\Users\Krzysiek\AppData\Local\FSDART RemoveDirectory: C:\Users\Krzysiek\AppData\Local\F-Secure RemoveDirectory: C:\Users\Krzysiek\AppData\Local\NPE RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\Ad-Aware Antivirus RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\IObit RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\TestApp RemoveDirectory: C:\Windows\IObit RemoveDirectory: C:\Windows\system32\log RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking CMD: del /q C:\DelFix.txt CMD: del /q C:\ProgramData\SMRResults501.dat CMD: del /q "C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\Ad-Aware SE Personal.lnk" CMD: del /q C:\Users\Krzysiek\.android CMD: del /q C:\Users\Krzysiek\AppData\Roaming\*.* CMD: del /q C:\Users\Krzysiek\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK CMD: del /q C:\Users\Krzysiek\Downloads\kavremvr*.exe CMD: del /q C:\Users\Krzysiek\Downloads\KVRT.exe CMD: del /q C:\Windows\ntbtlog.txt.bak CMD: del /q C:\Windows\system32\Drivers\189407C3.sys CMD: del /q C:\Windows\system32\Drivers\3DD14865.sys CMD: del /q C:\Windows\system32\Drivers\43956082.sys CMD: del /q C:\Windows\system32\Drivers\48230029.sys CMD: del /q C:\Windows\system32\Drivers\7D2E5C29.sys CMD: del /q C:\Windows\system32\Drivers\PCTSD64.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: netsh winsock reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt tam gdzie siedzi FRST, czyli na Pulpicie. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Na Pulpicie powstanie plik fixlog.txt. Plik ten dostarcz metodą załączników, na spodzie w edytorze Więcej opcji > Dołącz pliki. Nowe skany FRST nie są potrzebne.

Z powodu braku raportów FRST nabrałam wątpliwości, stąd pytanie: jak te pliki *.locky wyglądają? Czy zaszyfrowane pliki to zmieniona nazwa oryginalna na nieczytelną.locky czy zachowana nazwa oryginalna pliku.locky? W pierwszym przypadku (i wszystkie tematy na forum tego dotyczyły) mówimy o prawdziwym Locky, którego nie można odkodować. Ale w drugim przypadku jest to infekcja "AutoLocky" tylko imitująca prawdziwe Locky i tę można odkodować za pomocą narzędzia Emsisoft Decrypter for AutoLocky.

Raportowane przez Ciebie sprawy zrobione. Natomiast w pierwszym podanym logu Addition figurował następujący błąd: ==================== Błędy w Dzienniku zdarzeń: ========================= Niepowodzenie przy uruchamianiu usługi "eventlog", nie można odczytać zdarzeń. Usługa Dziennik zdarzeń systemu Windows jest właśnie uruchamiana. Nie można uruchomić usługi Dziennik zdarzeń systemu Windows. Wystąpił błąd systemu. System nie może znaleźć komunikatu dla numeru komunikatu 0x1069 w pliku komunikatów dla (null). Dostępne są dalsze informacje Pomocy; aby je uzyskać, wpisz NET HELPMSG 4201. Start > w polu szukania wklep services.msc > powiedz czy widzisz na liście usługę Dziennik zdarzeń systemu Windows, a jeśli tak to z dwukliku pobierz Właściwości i podaj jaki jest stan: Automatyczny czy Wyłączony. Czy mam rozumieć, że Fix FRST tak długo mielił?! Jego zawartość miała się wykonać błyskawicznie... A to, że te niemieckie obiekty nagle stały się puste to właśnie było moje docelowe działanie. One nie były normalnymi folderami tylko symbolicznymi linkami do C:\Users i C:\Program files i otwierając je widziałeś zawartość docelowych folderów. Skrypt FRST rozlinkował je i stały się one normalnymi pustymi folderami, które jak najbardziej były na ubój przeznaczone. Dużą selekcję danych wykonałam w tym temacie: KLIK. Posiadasz komercyjny pakiet Kaspersky Internet Security (realizujący wiele funkcji) i nie widzę powodu, by go zmieniać.

Fix FRST pomyślnie wykonany. Kontynuując czyszczenie adware: 1. Uruchom AdwCleaner ponownie, zastosuj po kolei Skanuj + Usuń. Gdy program skończy czyszczenie, odinstaluj go za pomocą opcji w interfejsie. Następnie przez SHIFT+DEL (omija Kosz) skasuj z dysku ten folder: C:\Users\Natalka\AppData\Local\Installer 2. Zrób skan za pomocą Hitman Pro i dostarcz wynikowy log. Na analizę tego wątku potrzebuję więcej czasu. Odpowiem w tej kwestii potem.

Na koniec zastosuj DelFix, wyczyść foldery Przywracania systemu, a jeśli potrzebne zainstaluj najnowsze wersje odinstalowanych wcześniej staroci. Wszystko opisane tu: KLIK PS. Tak, to są nadal aktualne konta. Z góry dzięki za ewentualne wsparcie!

Rozkładam ręce.... Dostarczyłeś ponownie dwa niepoprawne zestawy logów, a każdy na dodatek z innej wersji FRST... Pierwszy: utworzony w Pobranych, log FRST.txt niepoprawny (zawiera zawartość Shortcut). Drugi: z katalogu D:\Programy\frst, przy czym to logi ze starej wersji FRST, a plik FRST.txt całkowicie pusty. Wszystko usuwam. Proszę skup się: 1. Skasuj folder D:\Programy\frst. Następnie zastosuj DelFix, by usunął wszystkie dotychczas pobrane wersje FRST i jego logi z katalogu Pobrane. 2. Pobierz FRST z przyklejonego: KLIK. Zapisz na Pulpicie, a nie w katalogu Pobrane czy innym. Uruchom z Pulpitu, zaznacz pola Addition i Shortcut i zrób skan. Na Pulpicie powstaną trzy pliki: FRST.txt, Addition.txt, Shortcut.txt. Te pliki dostarcz metodą załączników, na spodzie w edytorze Więcej opcji > Dołącz pliki.

1. Hitman nie wykrył nic ciekawego, tylko drobne ciastka w Firefox. Usuń za pomocą programu. A te "podejrzane pliki" to detekcja FRST i jest to fałszywy alarm. 2. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Prawie wszystko zrobione. Niestety aktywny śmieć adware zdążył się podmienić we wpisach AppInit_DLLs i nowe pozycje wskoczyły. Poprawki: 1. Otwórz Notatnik i wklej: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\idna\Stock-Stock.dll => C:\ProgramData\idna\Stock-Stock.dll [361984 2016-04-25] () AppInit_DLLs-x32: C:\ProgramData\idna\Kaycore.dll => C:\ProgramData\idna\Kaycore.dll [257536 2016-04-25] () S2 idna; C:\ProgramData\\idna\\idna.exe -f "C:\ProgramData\\idna\\idna.dat" -l -a StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64 DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\ProgramData\idna RemoveDirectory: C:\ProgramData\idnas RemoveDirectory: C:\Users\Natalka\AppData\Local\Google CMD: del /q C:\WINDOWS\SysWOW64\pl.html Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Uruchom na tym koncie AdwCleaner ponownie, wybierz po kolei opcje Skanuj + Usuń. Po ukończeniu akcji na Marku, sprawdź co mówi AdwCleaner na kolejnym koncie i dostarcz log tylko w przypadku gdy coś zostanie znalezione.

OK, czyli wszystko wygląda na załatwione. Jednakże jeszcze na koncie Marek zrób skan tym narzędziem: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Po potwierdzeniu co widzi narzędzie na tym koncie, będzie można je dla pewności zapuścić na pozostałych kontach po kolei.

1. AdwCleaner znalazł dużo odpadków adware. Uruchom go ponownie, wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie, odinstaluj go używając przycisk w oknie. 2. Następnie zrób skan za pomocą Hitman Pro i dostarcz wynikowy log.

Mnóstwo obiektów adware widocznych. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Body Text Feathering, Call Form, YTDownloader, aplikacje "Pokki" wątpliwej reputacji integrowane na Lenovo Host App Service, Lenovo Web Start oraz starą wersję Java 8 Update 51. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\dlohn\Zummatam.dll => C:\ProgramData\dlohn\Zummatam.dll [363520 2016-03-08] () AppInit_DLLs-x32: C:\ProgramData\dlohn\Vilatone.dll => C:\ProgramData\dlohn\Vilatone.dll [257536 2016-03-08] () R2 amdidx; C:\Program Files\amdidx\amdidx.exe [383488 2016-01-17] () [brak podpisu cyfrowego] R2 BrsHelper; C:\Program Files (x86)\YTDownloader\BrowserHelperSrv.exe [112560 2015-10-22] () R2 DCHP; C:\ProgramData\\DCHP\\DCHP.exe [400384 2016-04-12] () [brak podpisu cyfrowego] S2 DeskTop_F; C:\ProgramData\desktopfind\desktop254.exe [236728 2016-03-16] (DeskTopService) R2 dlohn; C:\ProgramData\\dlohn\\dlohn.exe [539136 2016-01-20] () [brak podpisu cyfrowego] R2 IhPul; C:\Users\Natalka\AppData\Roaming\TSv\TSvr.exe [116368 2016-03-11] (tsvr.com) S2 serfe; C:\ProgramData\\serfe\\serfe.exe -f "C:\ProgramData\\serfe\\serfe.dat" -l -a S2 yakdo; C:\ProgramData\\yakdo\\yakdo.exe -f "C:\ProgramData\\yakdo\\yakdo.dat" -l -a S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80160 2015-04-08] (McAfee, Inc.) R2 sbmntr; C:\Program Files (x86)\YTDownloader\sbmntr.sys [58528 2015-10-22] (YTDownloader) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Task: {01489A37-BFBB-4BFE-BBB0-B074A014CD2E} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-02] (Lenovo) Task: {1DB97C7E-7609-4EEF-8DD2-0A03370FAFB3} - System32\Tasks\psv_Greentax => /c regedit.exe /s "C:\ProgramData\dlohn\Jobdax.reg" & del "C:\ProgramData\dlohn\Jobdax.reg" & SCHTASKS /Delete /TN "psv_Greentax" /F Task: {1DD30DAA-6E92-4595-BBDF-F93629C5096D} - System32\Tasks\psv_Joytam => /c regedit.exe /s "C:\ProgramData\serfe\Saltcore.reg" & del "C:\ProgramData\serfe\Saltcore.reg" & SCHTASKS /Delete /TN "psv_Joytam" /F Task: {385EBCAA-73BA-435F-9AD9-EC7BFAAB899E} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-10-16] (Lenovo) Task: {3A8A3034-887F-4269-BA4B-45ABDAF99626} - System32\Tasks\psv_Latsankix => /c regedit.exe /s "C:\ProgramData\dlohn\Unophase.reg" & del "C:\ProgramData\dlohn\Unophase.reg" & SCHTASKS /Delete /TN "psv_Latsankix" /F Task: {5C74706C-9F46-47A7-A049-4E26D091CE80} - System32\Tasks\psv_Zoomcore => /c regedit.exe /s "C:\ProgramData\serfe\Touch-Lax.reg" & del "C:\ProgramData\serfe\Touch-Lax.reg" & SCHTASKS /Delete /TN "psv_Zoomcore" /F Task: {770B41A8-5537-4E91-9B02-B0D2FFA59ACA} - System32\Tasks\Call Form => Rundll32.exe "C:\Users\Natalka\AppData\Local\Call Form\{B49D99C5-345C-2EBB-7681-69580AE8BE65}\CallForm.dll",#1 Task: {7D5DC876-066E-44C9-A5C5-2B3BB0B98AD4} - System32\Tasks\SweetLabs App Platform => C:\Users\Natalka\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe [2016-04-14] (Pokki) Task: {8CA7A5FB-4F4B-4201-B3E8-B5C43B1325D8} - System32\Tasks\psv_DoubleQuostrong => /c regedit.exe /s "C:\ProgramData\dlohn\Trustsoft.reg" & del "C:\ProgramData\dlohn\Trustsoft.reg" & SCHTASKS /Delete /TN "psv_DoubleQuostrong" /F Task: {9A1B9764-4DDF-4DC2-A3E7-BDE7A3BD58FC} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe [2015-10-22] (YTDownloader) Task: {ABA3F571-725E-4F1F-B976-C1ECB6AC639D} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-05-30] (Lenovo) Task: {D11F1C0C-AB7D-47B0-BBA0-D284CE5B98FF} - System32\Tasks\psv_Latlab => /c regedit.exe /s "C:\ProgramData\dlohn\StockRemcore.reg" & del "C:\ProgramData\dlohn\StockRemcore.reg" & SCHTASKS /Delete /TN "psv_Latlab" /F Task: {D58D529E-D8C7-4EB1-92A9-AA001240205A} - System32\Tasks\YTDownloaderUpd => C:\Program Files (x86)\YTDownloader\updater.exe [2015-10-22] (Goobzo) Task: {D9E1BD74-F7CE-4BD5-9768-CE1B00BBE486} - System32\Tasks\Call Form2 => Rundll32.exe "C:\Users\Natalka\AppData\Local\Call Form\{B49D99C5-345C-2EBB-7681-69580AE8BE65}\mqku.dll",#1 HKLM-x32\...\Run: [YTDownloader] => C:\Program Files (x86)\YTDownloader\YTDownloader.exe [1991600 2015-10-22] (YTDownloader) HKLM-x32\...\Run: [ospd_us_013010209] => [X] HKU\S-1-5-21-899261099-702920328-1542426104-1001\...\Run: [bingSvc] => C:\Users\Natalka\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-04-07] (© 2015 Microsoft Corporation) HKU\S-1-5-21-899261099-702920328-1542426104-1001\...\Run: [VideoDownloaderUltimate] => C:\ProgramData\VideoDownloaderUltimateWinApp\VideoDownloaderUltimate.exe /repair HKU\S-1-5-21-899261099-702920328-1542426104-1001\...\Run: [YTDownloader] => C:\Program Files (x86)\YTDownloader\YTDownloader.exe [1991600 2015-10-22] (YTDownloader) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Mafia II\Mafia II Launcher.lnk -> C:\Program Files (x86)\2K Games\Mafia II\launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793 ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64 ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64 ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64 ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64 GroupPolicy: Ograniczenia - Chrome CHR HomePage: Default -> hxxp://www.msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793" CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 CHR HKU\S-1-5-21-899261099-702920328-1542426104-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - hxxps://clients2.google.com/service/update2/crx StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms} HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hTIpkbapHKXA1ReyT1rF9daKqRPhK-t38_XnZOpkzTQbAVOE3Hcl-74lUuq_DbE6oDz_KwO2NLAAl21J3SBpDCVU-M, HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793 HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms} HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} SearchScopes: HKU\S-1-5-21-899261099-702920328-1542426104-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms} SearchScopes: HKU\S-1-5-21-899261099-702920328-1542426104-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} SearchScopes: HKU\S-1-5-21-899261099-702920328-1542426104-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1453028594&z=1bfa05b5bf8c639e4309b23gcz8w7c0ebo6baw2t5q&from=face&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v MyDriveConnect.exe /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v VideoDownloaderUltimate /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTDownloader /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLMLServer_For_P2G8 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLVirtualDrive /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v YTDownloader /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\Program Files\amdidx C:\Program Files (x86)\GUMB43A.tmp C:\Program Files (x86)\SFK C:\Program Files (x86)\YTDownloader C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\settings.cfg C:\ProgramData\DCHP C:\ProgramData\desktopfind C:\ProgramData\dlohn C:\ProgramData\Pokki C:\ProgramData\serfe C:\ProgramData\yakdos C:\ProgramData\yakdo C:\Users\Natalka\AppData\Local\U-street.dat C:\Users\Natalka\AppData\Local\U-street.exe.config C:\Users\Natalka\AppData\Local\Call Form C:\Users\Natalka\AppData\Local\SweetLabs App Platform C:\Users\Natalka\AppData\Local\Microsoft\BingSvc C:\Users\Natalka\AppData\Roaming\TSv C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader C:\Users\Natalka\Desktop\YTDownloader.lnk C:\Users\Natalka\Desktop\Nowy folder\Nowy folder\Kholat.lnk C:\Users\Natalka\Desktop\Nowy folder\Nowy folder\Need For Speed Most Wanted.lnk C:\Users\Natalka\Desktop\x\Freenet.lnk C:\Users\Natalka\Desktop\x\Start Tor Browser.lnk C:\Windows\System32\drivers\mfeelamk.sys C:\Windows\SysWOW64\findit.xml CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj: Block site (wątpliwe rozszerzenia marki Wips - wbudowane spyware), Call Form (adware, może już nie być widoczne po skrypcie FRST), Video Downloader professional (wątpliwe rozszerzenie), YouTube To MP3! (usunięte z Chrome Web Store z nieznanego powodu). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Wykonane pomyślnie. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Jeszcze ten rekord do upłynnienia za pomocą narzędzia MS: Bing Rewards Client Installer (x32 Version: 16.0.345.0 - Microsoft Corporation) Hidden Po ukończeniu prac z narzędziem MS zlikwiduj folder C:\MATS. Dodatkowo, dokasuj te puste elementy: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS Utility\SmartLogon C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite To jest OK: SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox Wyszukiwarki Internet Explorer firmowo ustawione na tym laptopie, Bing tak samo jak domyślnie w Windows niebrandowanym. ASUTDF - identyfikacyjny ciąg OEM Asusa. Widoczne w skanie FRST, ponieważ biała lista jest niepełna. Wiele takich OEM ciągów jest ukrytych, akurat nie ten. Zamiana tych wyszukiwarek na inne nie ma żadnego specjalnego znaczenia. Użytkownik może w Opcjach internetowych wybrać i ustawić jako domyślne dowolne inne, co i tak przebija w/w rekordy. Te zadania są domyślnymi Windows, więc ukryte w skanie FRST. Oczywiście możesz wyłączyć wszystkie związane z "uczestnictwem w poprawie obsługi": Start > w polu szukania wklep Program poprawy jakości obsługi klienta > przestaw opcję na "Nie chcę uczestniczyć w programie". W taskschd.msc w podgałęziach Application Experience + Customer Experience Improvement Program z prawokliku powyłączaj wszystkie zadania. Ale "RAC Task" to inna para kaloszy, on jest związany z Monitorem wydajności: KLIK. I skoro wszystko gra, już bym nie kombinowała więcej. EDIT: Jakoś nie zauważyłam, że pojawiły się nowe rekordy (nie było ich w poprzednich plikach Addition): ==================== Punkty Przywracania systemu ========================= Niepowodzenie przy listowaniu punktów przywracania Sprawdź usługę "winmgmt" lub napraw WMI. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CLMLServer] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Wyczyść wszystkie Dzienniki zdarzeń (błędy wyglądają na nieaktualne) i zresetuj system. Przedstaw nowy log FRST Addition.

AdwCleaner dopatrzył się drobnostek, w tym kluczy wrednego "Asystenta pobierania" dobrychprogramów: KLIK. 1. Uruchom AdwCleaner ponownie, po kolei wybierz opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Trzy akcje po kolei: DelFix, czyszczenie folderów Przywracania systemu i aktualizacja wyliczonych produktów Adobe: KLIK. Adobe Flash Player 21 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 21.0.0.197 - Adobe Systems Incorporated) Adobe Reader XI - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.00 - Adobe Systems Incorporated) To wszystko.

Gładko poszło, problem rozwiązany. Drobne korekty: 1. Mini poprawka na szczątek po SpyHunter. Do Notatnika wklej: S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-04-25] () C:\WINDOWS\system32\Drivers\EsgScanner.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Firefox był już odświeżony w poprzednim skanie. Odświeżanie nie wpływa na wtyczki (zainstalowane na poziomie rejestru), więc jego ponawianie nie było potrzebne. Końcowa poprawka, czyli skrypt do FRST o postaci: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\BOGUSLAW\Desktop\Stare dane programu Firefox CMD: del /q C:\Windows\Minidump\*.dmp I próbuj tego podejścia z Kasperskym. W przypadku identycznych objawów jak poprzednio, do wykonania te same kroki z poziomu środowiska RE (zdjęcie filtrów z myszy i klawiatury, by zalogować się w awaryjnym i usunąć Kasperskiego firmowym narzędziem).

Problem generują zmodyfikowane skróty LNK Firefox i Internet Explorer. Próbując rozwiązać problem zainstalowałeś wątpliwy skaner SpyHunter. Działania do przeprowadzenia: 1. Odinstaluj SpyHunter 4. W przypadku problemów z deinstalacją skorzystaj z narzędzia SpyHunterCleaner. Możesz go użyć też dla pewności po udanej normalnej deinstalacji, by doczyścił resztki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> "hxxp://trustedsurf.com/?ssid=1461567462&a=1003478&src=sh&uuid=0658a1b2-422b-4d4e-bea8-a087c21f9e29" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Star Wars - The Old Republic.lnk -> D:\Program Files (x86)\Electronic Arts\BioWare\Star Wars-The Old Republic\launcher.exe (BioWare) -> "hxxp://trustedsurf.com/?ssid=1461567462&a=1003478&src=sh&uuid=0658a1b2-422b-4d4e-bea8-a087c21f9e29" ShortcutWithArgument: C:\Users\Myotis\Desktop\Gry\Star Wars - The Old Republic.lnk -> D:\Program Files (x86)\Electronic Arts\BioWare\Star Wars-The Old Republic\launcher.exe (BioWare) -> "hxxp://trustedsurf.com/?ssid=1461567462&a=1003478&src=sh&uuid=0658a1b2-422b-4d4e-bea8-a087c21f9e29" ShortcutWithArgument: C:\Users\Myotis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461567462&a=1003478&src=sh&uuid=0658a1b2-422b-4d4e-bea8-a087c21f9e29" ShortcutWithArgument: C:\Users\Myotis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> "hxxp://trustedsurf.com/?ssid=1461567462&a=1003478&src=sh&uuid=0658a1b2-422b-4d4e-bea8-a087c21f9e29" ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> "hxxp://trustedsurf.com/?ssid=1461567462&a=1003478&src=sh&uuid=0658a1b2-422b-4d4e-bea8-a087c21f9e29" Task: {A75FEA26-9BA3-4C4F-896F-3B6805157A49} - System32\Tasks\avast! Windows 10 Start Menu helper => c:\program files\avast software\avast\asww10mon.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] RemoveDirectory: C:\avast! sandbox RemoveDirectory: C:\Program Files\AVAST Software RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\McAfee RemoveDirectory: C:\Program Files\Common Files\McAfee RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Users\Myotis\Doctor Web RemoveDirectory: C:\Users\Myotis\AppData\Local\Google RemoveDirectory: C:\Users\Myotis\AppData\Roaming\AVAST Software C:\AVScanner.ini C:\end C:\WINDOWS\avastSS.scr C:\WINDOWS\system32\Drivers\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Na pewno odinstalowałeś Adobe Reader? W Firefox nadal widać jego wtyczkę.

Post przeklejam do Twojego tematu. Jak mówiłam, jedyna możliwość odkodowania plików to zapłacenie haraczu przestępcom. Odkodowanie inną metodą jest awykonalne. Jeśli nie było kopii zapasowej, zostaje próba szukania poprzedniej wersji plików przy udziale programów do odzyskiwania danych (muszą być uruchomione z innego dysku niż poddany szyfrowaniu) typu DMDE, PhotoRec. Ale szanse są bardzo małe.

Wątek omawiany na forum w tym temacie: KLIK. Niestety odkodowanie plików nie jest możliwe bez uiszczenia opłaty przestępcom (akcja nie polecana i nie ma gwarancji). Jedyne czym mogę się zająć, to usunięciem ewentualnych śladów infekcji, o ile już czymś nie czyszczono systemu. Należy dostarczyć raporty wymagane ogłoszeniem: KLIK.

Oczywiście spróbowałabym tego, w przypadku powtarzalnej awarii porzucić to rozwiązanie. Zanim do tego wątku dojdziesz: Teraz możemy się zająć "cyzelowaniem", tzn. usunięciem szczątków m.in. po Kasperskym i Google Chrome. 1. Odinstaluj stare niebezpieczne wersje (luki! zagrożenia infekcjami szyfrującymi dane): Adobe Flash Player 20 ActiveX, Adobe Reader X (10.1.16) MUI, Java™ 6 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF Plugin-x32: @ei.RadioRage_4j.com/Plugin -> C:\Program Files (x86)\RadioRage_4jEI\Installr\1.bin\NP4jEISB.dll [2012-07-31] (RadioRage) BHO: Virtual Keyboard Plugin -> {73455575-E40C-433C-9784-C78DC7761455} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\x64\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll => Brak pliku BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\x64\IEExt\OnlineBanking\online_banking_bho.dll => Brak pliku BHO: URL Advisor Plugin -> {E33CF602-D945-461A-83F0-819F76A199F8} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\x64\IEExt\UrlAdvisor\klwtbbho.dll => Brak pliku BHO-x32: Virtual Keyboard Plugin -> {73455575-E40C-433C-9784-C78DC7761455} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll => Brak pliku BHO-x32: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\OnlineBanking\online_banking_bho.dll => Brak pliku BHO-x32: URL Advisor Plugin -> {E33CF602-D945-461A-83F0-819F76A199F8} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\UrlAdvisor\klwtbbho.dll => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {40689133-6C95-4ED3-8D70-E84773F8CF1A} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {AB2BC3D5-FA57-4E61-BC3C-BCF9F9865701} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\...\Run: [] => [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 massfilter; system32\DRIVERS\massfilter.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] DisableService: PLAY ONLINE. RunOuc DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions C:\Program Files (x86)\GUTFD9.tmp C:\Program Files (x86)\RadioRage_4jEI C:\Users\BOGUSLAW\AppData\Local\{EE467084-2CE9-48B6-80EC-14D677F96A0F} C:\Users\BOGUSLAW\AppData\Local\Google\Chrome CMD: netsh advfirewall reset Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Tosrfcom /s Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Reg: reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run File: C:\Program Files\TOSHIBA\PasswordUtility\TOSDCR.exe File: C:\Program Files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe File: C:\Program Files (x86)\TOSHIBA\PasswordUtility\TOSDCR.exe File: C:\Program Files (x86)\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt tam gdzie siedzi FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 3. Wyczyść Firefox ze starych preferencji: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Uruchom narzędzie Fix-it likwidujące drobny błąd WMI: KLIK. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W tych wynikach MBAM raczej infekcje które nie wpływają na działanie sieci (robak Brontok i PUPy). Czy na pewno uszkodzenie sieci to wynik infekcji? W raportach FRST i GMER żadnych wyraźnych oznak co może być naruszone, tylko w Dzienniku jest ten zestaw błędów, przy czym te dwa związane z brakiem modułu już jakoby rozwiązane: Dziennik System: ============= Error: (04/25/2016 12:30:59 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Publikacja zasobów odnajdowania funkcji zakończyła działanie; wystąpił następujący błąd: %%-2147014874 Error: (04/25/2016 11:40:52 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP zależy od usługi Klient DHCP, której nie można uruchomić z powodu następującego błędu: %%2 Error: (04/25/2016 11:40:52 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Klient DHCP zakończyła działanie; wystąpił następujący błąd: %%2 I ta zmiana uprawnień dla DHCP wygląda niepokojąco, tzn. czy przypisałeś specjalne konta dostępowe (np. Dhcp). I to też może być pośredni znak, że jest naruszone o wiele więcej uprawnień. Tu były takie tematy na forum, że wszystkie uprawnienia gałęzi SYSTEM były zresetowane, co niestety wymaga ogromnych nakładów czasowych i karkołomnych działań. Poproszę o: 1. Kopię rejestru do ręcznej analizy. Spakuj do ZIP folder C:\FRST\Hives, umieść na jakimś serwisie hostingowym i podaj link. Analiza zajmie dużo czasu i nie spodziewaj się szybkiej odpowiedzi. 2. Dowody jak poprawna była podmiana plików, czyli filtrowany raport z wyników sfc /scannow: KLIK.

DelFix zrobił co należy. Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam.

Temat przenoszę do działu Windows. Żadnych oznak infekcji. A te zgłoszenia "rootkit" w GMER odnoszą się poprawnych usług Windows, mogą być konsekwencją właśnie tego, że system "bardzo powoli działa". Z raportów nic nie wynika. Na dodatek, są tu znaki, że była uruchamiana co dopiero procedura Odśwież / Resetuj PC lub inna metoda reinstalacji systemu, co niejako odsuwa podejrzenia od komponentów systemu: 2016-04-24 21:23 - 2016-04-24 21:23 - 00000000 ____D C:\Windows.old Sugestie: 1. Przetestować zachowanie w "czystym rozruchu" (częściowo już były podobne kombinacje, pewne usługi są wyłączone): KLIK. Jeśli nastąpi raptowna poprawa stanu, partiami odwracać akcję włączając po kolei elementy + restart, aż zdefiniujesz który obiekt tworzy problem. 2. Odinstalować aktualizator NVIDIA GeForce Experience 2.9.1.22 i Asusowy WebStorage, co na trwałe obetnie ilość ładowanych elementów. 3. Sprawdzić jak system działa po deinstalacji Avast, który występuje tu w starszej wersji. Jeśli polepszy się sytuacja, zainstalować najnowszą wersję. 4. O ile system spełnia warunki i nie jest aktywowany na kluczu "wielokrotnym", zaktualizować do wersji Windows 8.1: KLIK. Platform: Windows 8 Pro (X64) Język: Polski (Polska) 5. Dalsza diagnostyka w dziale Hardware. PS. Do wykonania drobne korekty w spoilerze, co nie ma związku ze zgłoszonymi problemami i w niczym nie pomoże.