picasso

Wszystko zrobione. Jeszcze mini poprawki. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v PCSpeedUp /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AdobeAAMUpdater-1.0 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AdobeCS6ServiceManager /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SDTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Acrobat Assistant 8.0" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Pokaż wynikowy fixlog.txt. W raportach nie widać przyczyny. Czy problem występuje także po wyłączeniu osłon McAfee?

Akcje pomyślnie przeprowadzone. Na koniec: Skasuj folder FRST z Pulpitu. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Teraz widzę, że dołączyłeś we wcześniejszym poście logi, pisałam swój, gdy ich tam jeszcze nie było. Ten skrypt FRST niepotrzebnie uruchomiłeś powtórnie, to skrypt jednorazowego użytku i w kolejnym podejściu prawie nic nie robi. Wszystko wykonane. Na koniec: 1. Usuń folder C:\Users\Michael Jackson\Desktop\wirusy\FRST program z FRST i jego logami. 2. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

facet, znowu te same błędy z tworzeniem pliku skryptu, znów uruchomiłeś translator przeglądarki SRWare Iron, który zepsuł skrypt. Wyłącz translator lub nie reaguj na próby tłumaczenia strony fixitpc.pl. Powtarzaj punkt 3. Następnie dla pewności jeszcze zrób nowy log FRST z opcji Skanuj (Scan) z Addition, mający potwierdzić wykonanie wszystkich operacji.

vs. 2016-04-11 00:20 - 2016-04-13 20:02 - 01353625 _____ C:\Users\Piotr\Desktop\MG_0290.jpg.encrypted To nie CryptoLocker tylko TorrentLocker. Mogłeś widzieć nazwę "CryptoLocker" na komunikacie ransom, ale to ulepszony copycat CryptoLockera a nie CryptoLocker, posługujący się po prostu nazwą starego prekursora. Więcej na temat tej infekcji: KLIK / KLIK. Niestety, odkodowanie plików nie jest możliwe. W drugim linku jest informacja, że na pewnym etapie cichym odkodowaniem plików tej infekcji zajmował się Dr. Web, ale trzeba było być ich klientem, tzn. zapłacić. Ale to informacje z zeszłego roku o starym wariancie TorrentLocker, Ty zapewne złapałeś najnowszą generację, której Dr. Web nie umie odkodować (mówi o tym ostatni post w drugim linku). Nie, to nie ten rodzaj szyfrowania. Ta infekcja usuwa wszystkie punkty Przywracania systemu. Te które są u Ciebie widoczne to prawdopodobnie punkty nagrane już po ataku infekcji. Nie wiadomo kiedy infekcja wystąpiła i jak długo była aktywna, gdyż podczas szyfrowania użytkownik nawet nie wie, że to się dzieje, a widoczne oznaki w postaci komunikatów ransom są już tworzone po ukończeniu procesu... ==================== Punkty Przywracania systemu ========================= 12-04-2016 06:49:56 Windows Update 13-04-2016 23:55:12 Windows Update 15-04-2016 18:39:04 Usunięto: Steam 15-04-2016 21:36:45 Norton_Power_Eraser_20160415213644610 Natomiast wyłączona Ochrona dla innych dysków niż systemowy to domyślny stan ustawiany podczas instalacji Windows. Jedyne więc w czym mogę pomóc, to doczyszczenie drobnostek, na dysku widać tylko odpadkowy folder tej infekcji oraz szczątki lewego skanera SpyHunter. Notabene, jeśli go użyłeś, to prawdopodobnie porobił więcej szkód. On pogarsza sprawę, bo usuwa z rejestru dane identyfikacyjne infekcji szyfrujących (przynajmniej niektórych), uniemożliwiając nawet odzysk danych oficjalną metodą, tzn. poprzez uiszczenie opłaty przestępcom. Pod kątem drobnego doczyszczania. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3183649738-3205867959-702821356-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3183649738-3205867959-702821356-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3183649738-3205867959-702821356-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3183649738-3205867959-702821356-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3183649738-3205867959-702821356-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3183649738-3205867959-702821356-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} StartMenuInternet: Google Chrome.JMI5BUZEGRYCBEJTQLGOWTBCAU - C:\Users\Piotr\AppData\Local\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1435117082&z=e83dcbed1a6e177c34db874g3zfc0w2g0g9m0e0b1m&from=ient06242&uid=SAMSUNGXHD103SJ_S246J9CB143685 BHO: Brak nazwy -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> Brak pliku BHO-x32: Brak nazwy -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku Task: {4C5F3C83-B7E1-4536-86A1-8DD0D9658E3B} - System32\Tasks\{8656F942-AE8D-41EC-B43B-5EB3971FBA08} => pcalua.exe -a E:\Instalki\BESTplayer_www.INSTALKI.pl.exe -d E:\Instalki Task: {CFE6F572-BF91-4BF7-8846-150F0B32D3A8} - System32\Tasks\{AE1A3029-037E-4931-88E1-A7173CD37831} => pcalua.exe -a C:\Users\Piotr\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt HKLM-x32\...\Run: [] => [X] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-04-13] () C:\ProgramData\adafegecyjykykud C:\ProgramData\APN C:\Users\Piotr\AppData\Roaming\Enigma Software Group C:\Windows\system32\Drivers\EsgScanner.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe skany FRST nie są już potrzebne.

Widzę nowe niekorzystne zmiany. MBAM wykrył obiekty, których na pewno nie było w poprzednim raporcie FRST, co wskazuje na instalację nowych adware. Poproszę o nowy log FRST z opcji Skanuj (Scan) włącznie z Addition.

Nie zalecam tego, mogą być skutki uboczne. Były tu nawet takie tematy na forum - komunikaty "W komputerze brakuje pamięci", pomimo dużej ilości fizycznego RAM. Nawet przy ogromnej ilości RAM plik pamięci wirtualnej i tak jest potrzebny, a przy jego braku określone aplikacje mogą się dziwnie zachowywać lub nawet nie uruchomić. Plik pamięci wirtualnej, choćby najmniejszy (czyli minimalnie przyjęty przez system 2MB), powinien zostać przywrócony. Rozmiar tego pliku ustala się w inny sposób poprzez monitorowanie: KLIK. W tej sytuacji spróbuj tych kroków: 1. Pod kątem wejścia instalacyjnego zastosuj Wise Program Uninstaller. Prawdopodobnie program usunie więcej niż tylko rejestrację programu (tak było przynajmniej w innym temacie), ale i tak w punkcie dwa zadaję usuwanie elementów AVG Web TuneUp widocznych w raporcie FRST (plus pozostałe odpadki). 2. Usunięcie szczątków AVG, SpyHunter i kwarantann. Otwórz Notatnik i wklej w nim: R2 WtuSystemSupport; C:\Program Files (x86)\AVG Web TuneUp\WtuSystemSupport.exe [1223752 2016-04-13] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-04-12] () HKLM-x32\...\Run: [vProt] => C:\Program Files (x86)\AVG Web TuneUp\vprot.exe [2885704 2016-04-13] () BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku BHO-x32: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Web TuneUp\4.2.9.726\AVG Web TuneUp.dll [2016-04-13] (AVG) RemoveDirectory: C:\$AVG RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\AVG_Remover RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Enigma Software Group RemoveDirectory: C:\Program Files (x86)\69dc8177-a574-4dff-8461-b3267b078dcf RemoveDirectory: C:\Program Files (x86)\AVG RemoveDirectory: C:\Program Files (x86)\AVG Web TuneUp RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\AVG Secure Search RemoveDirectory: C:\ProgramData\AVG Security Toolbar RemoveDirectory: C:\ProgramData\AVG Web TuneUp RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\Program Files\Common Files\AVG Secure Search RemoveDirectory: C:\sh4ldr RemoveDirectory: C:\Users\Ewelina\AppData\Local\AVG RemoveDirectory: C:\Users\Ewelina\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\Ewelina\AppData\Local\MFAData RemoveDirectory: C:\Users\Ewelina\AppData\Roaming\Enigma Software Group RemoveDirectory: C:\Users\Ewelina\AppData\Roaming\TuneUp Software CMD: del /q C:\WINDOWS\system32\Drivers\EsgScanner.sys Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AVG_UI /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż fixlog.txt. Po jego prezentacji: 3. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. PS. Co do pytań o dotacje, to mam w swojej sygnaturze przecież dane. Moja pomoc była jednak skromna.

Nie widzę logów dołączonych... To nie rozwiązuje problemu. Zedytowałeś serwery DNS w Windows, które mają priorytet nad tymi z routera i dlatego efekt reklam ustał, ale to nie zmienia faktu, że router jest zainfekowany. Cokolwiek podepniesz do sieci, np. inny komputer / laptop / telefon, zostanie natychmiast zainfekowany z routera. Musi być rozwiązana sprawa na poziomie routera. To kolejny przypadek zgłoszony, że nie można zmienić ustawień DNS ręcznie. W związku z tym: 1. Wykonaj aktualizację firmware: Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND) Firmware dla TD-W8901G Po aktualizacji wykonaj reset routera do ustawień fabrycznych poprzez przycisk na obudowie, co powinno wymazać szkodliwe serwery DNS. Następnie w konfiguracji zmień hasło logowania i upewnij się, że jest zamknięty dostęp do panelu zarządzania z poziomu internetu. 2. Po operacji z routerem zresetuj Windows, by zaktualizował dane. Zrób nowy log FRST (bez Addition i Shortcut).

Usuwacz Kasperskiego ubił prawie wszystko. Zostały rejestracje WMI i jedna usługa. Czyli kolejny skrypt do FRST: AV: Kaspersky 365 ¼ Beta (Disabled - Out of date) {2C4D4BC6-0793-4956-A9F9-E252435469C0} FW: Kaspersky 365 ¼ Beta (Disabled) {2C4D4BC6-0793-4956-A9F9-E252435469C0} S2 AVP16.0.0; C:\Program Files\Kaspersky Lab\Kaspersky 365 Beta 16.0.0\avp.exe [194000 2015-09-07] (Kaspersky Lab ZAO) RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab RemoveDirectory: C:\Program Files\Kaspersky Lab DeleteQuarantine: Tym razem plik zapisz jednak w innym kodowaniu: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Uruchom w taki sam sposób jak poprzednio i pokaż wynikowy Fixlog. PS. Na koncie Ja w Google Chrome są stare preferencje sprzed aktualizacji. Wyczyść martwe wpisy wtyczek poprzez reset cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

Nic dziwnego, Kaspersky to tu bardziej wygląda jak zainstalowany niż odinstalowany. Zostało multum obiektów, rejestracje WMI w Centrum, usługa i kupa uruchomionych sterowników oraz rozszerzenie w Firefox: ==================== Centrum zabezpieczeń ======================== AV: Kaspersky 365 ¼ Beta (Disabled - Out of date) {2C4D4BC6-0793-4956-A9F9-E252435469C0} FW: Kaspersky 365 ¼ Beta (Disabled) {2C4D4BC6-0793-4956-A9F9-E252435469C0} ==================== Usługi (filtrowane) ======================== S2 AVP16.0.0; C:\Program Files\Kaspersky Lab\Kaspersky 365 Beta 16.0.0\avp.exe [194000 2015-09-07] (Kaspersky Lab ZAO) ===================== Sterowniki (filtrowane) ========================== R0 cm_km; C:\WINDOWS\System32\DRIVERS\cm_km.sys [201912 2015-07-06] (Kaspersky Lab ZAO) R0 kl1; C:\WINDOWS\System32\DRIVERS\kl1.sys [153784 2015-06-22] (Kaspersky Lab ZAO) R0 klbackupdisk; C:\WINDOWS\System32\DRIVERS\klbackupdisk.sys [46776 2015-06-06] (Kaspersky Lab ZAO) R1 klbackupflt; C:\WINDOWS\System32\DRIVERS\klbackupflt.sys [57712 2015-06-27] (Kaspersky Lab ZAO) R2 kldisk; C:\WINDOWS\System32\DRIVERS\kldisk.sys [58040 2015-06-06] (Kaspersky Lab ZAO) R3 klflt; C:\WINDOWS\System32\DRIVERS\klflt.sys [131232 2015-08-19] (Kaspersky Lab ZAO) R1 klhk; C:\WINDOWS\System32\DRIVERS\klhk.sys [44216 2015-07-22] (AO Kaspersky Lab) R1 KLIF; C:\WINDOWS\System32\DRIVERS\klif.sys [754336 2015-08-19] (AO Kaspersky Lab) R3 klim5; C:\WINDOWS\System32\DRIVERS\klim5.sys [36448 2013-04-19] (Kaspersky Lab ZAO) R3 klkbdflt; C:\WINDOWS\System32\DRIVERS\klkbdflt.sys [36024 2015-06-04] (Kaspersky Lab ZAO) R3 klmouflt; C:\WINDOWS\System32\DRIVERS\klmouflt.sys [37040 2015-06-07] (Kaspersky Lab ZAO) R1 klpd; C:\WINDOWS\System32\DRIVERS\klpd.sys [28344 2015-06-08] (Kaspersky Lab ZAO) R1 kltdf; C:\WINDOWS\System32\DRIVERS\kltdf.sys [73912 2015-06-10] (Kaspersky Lab ZAO) R1 kltdi; C:\WINDOWS\System32\DRIVERS\kltdi.sys [54328 2015-06-11] (Kaspersky Lab ZAO) R1 kneps; C:\WINDOWS\System32\DRIVERS\kneps.sys [156856 2015-06-23] (Kaspersky Lab ZAO) FireFox: ======== FF HKLM\...\Firefox\Extensions: [light_plugin_D772DC8D6FAF43A29B25C4EBAA5AD1DE@kaspersky.com] - C:\Program Files\Kaspersky Lab\Kaspersky 365 Beta 16.0.0\FFExt\light_plugin_firefox FF Extension: Kaspersky Protection - C:\Program Files\Kaspersky Lab\Kaspersky 365 Beta 16.0.0\FFExt\light_plugin_firefox [2015-10-21] [brak podpisu cyfrowego] 1. Zacznij od użycia z poziomu Trybu awaryjnego Windows firmowego deinstalatora Kaspersky Remover. 2. Następnie doczyszczenie drobnostek. Do Notatnika wklej: AV: avast! Antivirus (Disabled - Up to date) {7591DB91-41F0-48A3-B128-1A293FD8233D} ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll Brak pliku CHR HKU\S-1-5-21-746137067-1004336348-682003330-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions C:\Program Files\Mozilla Firefox\extensions EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi FRST (główny + Addition), ale z drugiego konta. Podane tu raporty pochodzą z wbudowanego w system Administratora a nie zasadniczego konta Ja: ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-746137067-1004336348-682003330-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator Ja (S-1-5-21-746137067-1004336348-682003330-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Ja Pokaż też fixlog.txt.

Kończymy: 1. Skasuj pobrany FRST i jego logi z folderu D:\Pobierania\Pobrane - Chrome 2. Następnie zastosuj narzędzie DelFix, a na koniec wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Miałam na myśli Mini Monitoring = keylogger. Ale dlaczego ładujesz nowe instalacje, które tylko zaciemniają problem i go mogą pogłębić. Nie zadałam instalacji NOD, ani żadnego innego skanera, gdyż: - Nie było to potrzebne, na podstawie raportów już stwierdziłam, że problem obciążenia nie jest wynikiem infekcji, gdyż nie ma żadnych aktywnych jej elementów (wpis infekcji był wyłączony w Menedżerze). - Poprzednio ESET nawet nie był odinstalowany poprawnie i nowy log FRST miał potwierdzić skuteczność użycia narzędzia czyszczącego ESET. - Nie instaluje się nowych kobył (każdy antywirus jest takową), gdy jest problem obciążenia dysku. To co się wtedy robi, to po kolei redukuje kolejne. Miała być sprawdzona sytuacja po usunięciu szczątków ESET przy pozostawieniu AVG, teraz już nie wiadomo jak działał system w takiej kombinacji, skoro komponenty NOD znów wskoczyły na miejsce. - Kwarantanny innych narzędzi nie zostały wyczyszczone, by zapobiec detekcji rzeczy już usuniętych, bo ten etap miał być dopiero zadany. Te wyniki NOD są w większości bez znaczenia. On wykrył głównie obiekty już usunięte (kwarantanny C:\AdwCleaner i C:\FRST\Quarantine). Reszta to drobnostki adware/PUP i nie ma to wpływu na system. To co w istocie wykrył NOD to tylko trzy pliki *-dp.exe "Asystenta pobierania" dobrychprogramów, szczątkowy folder adware i plik w folderze Alcohola, instalator uTorrent (jest sponsorowany) i niepożądane aplikacje "boosterowe" w folderze WinZIP: C:\Ewelina\Programy\yt\YTD-Video-Downloader(27896)-dp.exe - odmiana zagrożenia Win32/InstallCore.ADX.gen potencjalnie niepożądana aplikacja - usunięty C:\Michał\Ked\kED(11810)-dp.exe - odmiana zagrożenia Win32/InstallCore.ACZ potencjalnie niepożądana aplikacja - usunięty C:\Michał\VSO Downloarder\VSO-Downloader(35453)-dp.exe - odmiana zagrożenia Win32/InstallCore.ACZ potencjalnie niepożądana aplikacja - usunięty C:\Program Files (x86)\69dc8177-a574-4dff-8461-b3267b078dcf\df39313b-a6cf-4d63-af6f-f56dc07d9775.dll - odmiana zagrożenia Win64/Toolbar.Crossrider.P potencjalnie niepożądana aplikacja - usunięty C:\Program Files (x86)\Alcohol Soft\69dc8177-a574-4dff-8461-b3267b078dcf.dll - odmiana zagrożenia Win64/Toolbar.Crossrider.P potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSS.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSHelper.dll - odmiana zagrożenia Win32/Systweak.N potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSPrivacyProtector.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSRegClean.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSRegistryOptimizer.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\PROGRAMY\winzip\Utils\WzSysScan\WINZIPSSSystemCleaner.exe - odmiana zagrożenia Win32/Systweak.L potencjalnie niepożądana aplikacja - usunięty C:\Users\Ewelina\AppData\Roaming\uTorrent\updates\3.4.2_32354.exe - odmiana zagrożenia Win32/AdkDLLWrapper.A potencjalnie niepożądana aplikacja - usunięty Jeśli chodzi o wykonane zadania to niekompletnie. Nie został odinstalowany AVG Web TuneUp. Poza tym, jak mówię, teraz po ponownym doładowaniu ESET nie wiadomo jak wpływa na stan, bo przedtem też były jego komponenty aktywne i w tym kontekście sytuacja bez zmian.

Ja tylko dodam: + Oba błędy wskazują, że jest uruchomione 32-bitowe środowisko WinRE. - W takim przypadku FRST też musi być 32-bitowy, niezależnie od tego, że zainstalowany Windows jest 64-bitowy. - A do opcji Napraw dla systemu 64-bit wymagana jest płyta z 64-bitowym WinRE.

Tym razem skrypt wykonany. Poprawki: 1. Nie odinstalowałeś starych niebezpiecznych wersji: Gadu-Gadu 7.7, Gadu-Gadu 10, Java 6 Update 33, OpenOffice.org 3.2, Opera 12.16, Skype™ 3.8, Skype™ 5.0. Notabene, skróty tej Opery są zainfekowane adware, ale nie naprawiam tego wskazując całkowitą deinstalację przeglądarki. 2. Profil Firefox nie został zresetowany, nadal widać w nim preferencje adware. Wdróż zadanie. 3. Drobne doczyszczanie. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{48704EAC-685D-B774-0DED-35B8B9E36F21} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YahooProvidedSearch DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\MySearchDial Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

To nie wirus lecz adware, nabyte na jeden z tych sposobów: KLIK. Problemem są polityki oprogramowania Google Chrome. Widzę, że próbowałeś reinstalować Chrome - to w ogóle nie znosi polityk, które są w ustawieniach Windows a nie przeglądarki. Działania do przeprowadzenia: 1. Odinstaluj stare wersje Java 8 Update 31, Java 8 Update 31 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-2661465676-2700134935-1706851539-1000\...\Policies\Explorer: [] HKU\S-1-5-18\...\Policies\system: [DisableLockWorkstation] 0 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-2661465676-2700134935-1706851539-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku R2 DeskTop_F; C:\ProgramData\desktopfind\desktop154.exe [236728 2016-03-16] (DeskTopService) S3 ACTION_SVC; C:\Program Files (x86)\Mirillis\Action!\action_svc.exe [X] S2 Mobizen plugin; C:\Program Files (x86)\RSUPPORT\MobizenService\MobizenService.exe [X] S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_6; \??\C:\Program Files (x86)\Setup Files\Ms7918v270\NTIOLib_X64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] Task: {0FA77FEE-5020-464F-9188-A8FEE2FEF1E1} - System32\Tasks\{C4826B9C-9163-4EE0-8C05-90A7823C6790} => C:\Program Files (x86)\Mirillis\Action!\Action.exe Task: {69D6D99F-2F31-48A7-A630-07E183885877} - System32\Tasks\{2853754E-4E94-49EA-B8E9-65CFCA300796} => C:\Program Files (x86)\Mirillis\Action!\Action.exe Task: {E0D3C72C-6B91-4D4A-877E-0A8A9ABC734E} - System32\Tasks\{4B8B444C-BECB-4C00-92FA-38D798154991} => C:\Program Files (x86)\Mirillis\Action!\Action.exe Task: {EC46A566-5B95-43DB-8120-11280C680BF0} - System32\Tasks\{43AB4FCF-B0DF-4B00-BE19-72AB77A3A9CD} => C:\Program Files (x86)\Mirillis\Action!\Action.exe Task: {F8356014-3187-4563-B199-571B823E6DAA} - System32\Tasks\{96276F2E-C912-476F-BD02-4567B26A7C77} => C:\Program Files (x86)\Mirillis\Action!\Action.exe Task: {FB427E05-3E4B-40AA-AD65-3FC7918C7006} - System32\Tasks\{6745D232-4E09-40F0-BD3E-7DD8A1CDFADA} => C:\Program Files (x86)\Mirillis\Action!\Action.exe HKU\S-1-5-21-2661465676-2700134935-1706851539-1000\Software\Classes\.exe: => DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\desktopfind C:\ProgramData\DwinpD C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com C:\Users\Jacur\Workaround.vbs C:\Users\Jacur\AppData\Local\{*} C:\Windows\system32\*.tmp C:\Windows\system32\Drivers\etc\hosts.txt C:\Windows\SysWOW64\pl.html Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Powyższy skrypt odblokuje ustawienia Google Chrome. I wykonaj te czynności: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem prawdziwego Google. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Jacur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Przedstaw raport AVG pokazujący te wyniki, gdyż w raporcie mało co już widać. Na teraz lekkie doczyszczanie odpadkowych wpisów (puste wpisy i skróty po odinstalowanych aplikacjach): 1. Odinstaluj stare wersje i zbędne programy: Adobe Flash Player 20 ActiveX, Adobe Flash Player 20 NPAPI, Adobe Reader 9.5.0 - Polish, Akamai NetSession Interface, HP Deskjet Ink Adv 2060 K110 — badanie mające na celu poprawę produktów, Java 7 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 38a94c45; "C:\Windows\system32\rundll32.exe" "c:\Program Files\RelayEdit\RelayEdit.dll",serv S2 iSafeService; C:\Program Files\Elex-tech\YAC\iSafeSvc.exe [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S1 iSafeKrnl; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys [X] S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S1 iSafeKrnlKit; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys [X] S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X] S1 iSafeKrnlR3; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys [X] S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X] S3 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] S3 vtany; \??\C:\Windows\vtany.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {648295B6-52FD-4F96-9A08-194CEAEEEDF9} - System32\Tasks\avast! Emergency Update Task: {7082E1B6-995D-4979-993F-B3EAF7EBC7DB} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-04] (AVAST Software) Task: {CE8FDB9C-E21F-4E88-ABEA-6A4C5B60FAD2} - System32\Tasks\{3B66E4D9-A5D3-477A-8130-332CFEE52628} => pcalua.exe -a C:\Users\User\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=smt Task: {E5A99B75-105D-42BA-A22A-24928CE48FCD} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-654294337-137298605-2700608432-1000\...\Run: [spotify Web Helper] => "C:\Users\User\AppData\Roaming\Spotify\SpotifyWebHelper.exe" HKU\S-1-5-21-654294337-137298605-2700608432-1000\...\Run: [DAEMON Tools Lite] => "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-21-654294337-137298605-2700608432-1000\...\Run: [spotify] => "C:\Users\User\AppData\Roaming\Spotify\Spotify.exe" -autostart -minimized CustomCLSID: HKU\S-1-5-21-654294337-137298605-2700608432-1000_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\User\Downloads\BESTplayer.exe => Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-654294337-137298605-2700608432-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1428306487&from=smt&uid=HitachiXHTS723216L9A360_090110FC1200NCGB5NNDX&q={searchTerms} HKU\S-1-5-21-654294337-137298605-2700608432-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1428306487&from=smt&uid=HitachiXHTS723216L9A360_090110FC1200NCGB5NNDX&q={searchTerms} HKU\S-1-5-21-654294337-137298605-2700608432-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp HKU\S-1-5-21-654294337-137298605-2700608432-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp SearchScopes: HKLM -> DefaultScope - brak wartości FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\hms6nq8j.default\extensions\fftoolbar2014@etech.com => nie znaleziono CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{38a94c45} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\Program Files\Common Files\AV\avast! Antivirus C:\ProgramData\AVAST Software C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{C979F558-BE78-45FE-8157-8D0F909054CB} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EdHTML v5.0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firaxis Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hearthstone C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of the Storm C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NewFeature1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PIT Format 2015 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spolszczenie do Sid Meier's Pirates instalka by Termez & AliG C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarCraft II C:\Users\Gość\Desktop\YouTube Accelerator.lnk C:\Users\Gość\AppData\Local\Microsoft\Windows\GameExplorer\{755E6C26-9D08-4868-92BB-3B5AEF3BB8C7} C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{C979F558-BE78-45FE-8157-8D0F909054CB} C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\BitTorrent.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\EdHTML v5.0.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\osu!.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Spotify.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Zainstaluj*.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Telegram Desktop C:\Windows\System32\Tasks\AVAST Software CMD: netsh advfirewall reset Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

DelFix wykonał robotę. Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam. I wielkie dzięki za wsparcie.

vs. ==================== Konta użytkowników: ============================= mibfsotnvaj (S-1-5-21-1593122494-3413122874-2295387288-1004 - Limited - Disabled) Widziałam je już wcześniej w raporcie FRST i miałam nawet na końcu języka, by przypadkiem nie szukać "infekcji" w tym miejscu. To losowe konto utworzone przez ESET Smart Security. Sporo takich tematów było już na forum, np: KLIK / KLIK.

Problemem jest infekcja routera a nie Windows. Zakolorowany adres IP pobierany z routera jest brytyjski: KLIK. IP pod którym Cię zaś widzę na forum wskazuje, że masz polskiego dostawcę Netia. Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8 Tcpip\..\Interfaces\{c39e5ce8-aafb-4604-aa04-480efa2f9e21}: [DhcpNameServer] 80.243.191.66 8.8.8.8 Do wykonania co następuje: 1. Czyszczenie routera. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Czyszczenie cache DNS i przeglądarek plus usunięcie szczątków po deinstalacji przeglądarek. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: ipconfig /flushdns HKLM-x32\...\Run: [] => [X] C:\Program Files (x86)\Google C:\Program Files (x86)\Opera C:\Users\Michael Jackson\AppData\Local\ACCCx3_5_1_209.zip.aamdownload C:\Users\Michael Jackson\AppData\Local\ACCCx3_5_1_209.zip.aamdownload.aamd C:\Users\Michael Jackson\AppData\Local\Google C:\Users\Michael Jackson\AppData\Local\Opera Software C:\Users\Michael Jackson\AppData\Roaming\Opera Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podaj jaki model routera jest używany.

Czy Windows był instalowany z nośnika pobranego "na lewo", np. z torrent? Raport conajmniej sugeruje matactwa aktywacji (charakterystyczne błędy w Dzienniku zdarzeń), co nasuwa podejrzenie, że nośnik też nie był oryginalny. Nieumiejętna edycja źródła Windows na poziomie obrazu instalacyjnego mogłaby skutkować podobnym odczytem SFC. Ważność naruszeń jest dla mnie nie do określenia, one wydają się być "błahe" (i nazwet zaznaczyłam, że nie jest pewne jaki to ma wpływ), ale już nieraz miałam przypadki, że pozornie drobne naruszenia jednak stanowiły problem. Na razie ten wątek ignoruję, w razie czego reinstalacja Windows z pewnego niemodyfikowanego nośnika. Problem podstawowy rozwiązany, teraz mogę przejść do czyszczenia śmieci. Ten wpis adware BingSvc już usunąłeś w międzyczasie, więc tylko drobne kosmetyczne usuwanie pustych wpisów i naleciałości po użyciu ComboFix. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1254553527-1768904880-4206112929-1000\...\Run: [uTorrent] => %APPDATA%\uTorrent\uTorrent.exe HKLM-x32\...\RunOnce: [innoSetupRegFile.0000000001] => "C:\Windows\is-7T4E8.exe" /REG /REGSVRMODE HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1254553527-1768904880-4206112929-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main S3 catchme; \??\C:\ComboFix\catchme.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

Nic więcej z raportów nie wynika. Czy komputer jest na gwarancji? Sugeruję zgłoszenie problemu do producenta. Skoro nowy ledwo co rozpakowany komputer wykazuje takie objawy, to defekt zdaje się być fabryczny i nie ma co więcej grzebać.

Proszę dołącz wszystkie oryginalne logi FRST i GMER oddzienie w postaci załączników forum. Spróbuj zrobić to z poziomu Trybu awaryjnego z obsługą sieci.

Dwa? W logu był tylko jeden widoczny, czyli Adblock Plus. No chyba że po założeniu tematu jeszcze coś domontowałeś. Dwa adblocki mijają się z celem: obciążenie przeglądarki, poza tym wysokie prawdopodobieństwo replikacji filtrów, wiele używa tego samego zestawu "EasyList". Poleciłam Ci uBlock Origin, gdyż w mojej opinii jest lepszy i lżejszy niż Adblock Plus, i jak już powiedziane domyślnie lepiej skonfigurowany. Na początek trzeba zdefiniować jakie usługi są pod niego podczepione. Prawoklik na to wystąpienie svchost.exe > Przejdź do usług > wypisz wszystkie które zostaną zakreślone.

Log z FRST nie został zrobiony na ustawieniu o które prosiłam, miałeś odznaczyć (domyślnie zaznaczone) pozycję Usługi i Sterowniki, co wyłącza filtrowanie. Raport Shortcut nie jest po raz kolejny potrzebny (usuwam). A jeśli chodzi o potencjalne filtry sprzętowe, to na klawiaturę jest nałożony filtr ESET (ekbdflt). Od kiedy ten ESET siedzi, czy został zainstalowany już po wystąpieniu problemów? HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} Class REG_SZ Keyboard ClassDesc REG_SZ @%SystemRoot%\System32\SysClass.Dll,-3002 UpperFilters REG_MULTI_SZ ekbdflt\0kbdclass IconPath REG_MULTI_SZ %SystemRoot%\System32\setupapi.dll,-3 NoInstallClass REG_SZ 1 Swoją drogą to deinstalacja programu ASUSa nie usunęła jego sterownika, choć jest on obecnie w stanie "zatrzymano": S3 ATP; C:\Windows\System32\drivers\AsusTP.sys [97680 2015-08-23] (ASUS Corporation) I czy sprawdzałeś stronę producenta laptopa pod kątem aktualizacji sterowników?

Ależ ... prawie nic się nie wykonało z punktu 3! Zdewastowałeś skrypt do FRST, uruchomiłeś na stronie forum translator przeglądarki, która niepotrzebnie "przetłumaczyła na polski" mój post, w konsekwencji do Notatnika wkleiłeś bzdury! Skrypt nie może być poddawany żadnym manipulacjom, ma być wklejony tak jak go widać na stronie nie przetłumaczonej. Powtarzaj punkt 3. Po tym nowe logi FRST, miałeś dostarczyć dwa: FRST + Addition.