Aktualizacja do Windows 10 - wyskakujące okienko .tmp

[Roman77]

Witam.

Po aktualizacji system z Windows 7 do Windows 10 samoistnie co minutę pojawia się okienko z pytaniem "Jak chcesz otworzyć ten plik".
Nazwa tego pliku to TMP89X~1.TMP.
Skanowanie eset smart security nie wykryło żadnego wirusa.
Pomimo usunięcia śmieci, oczyszczenia rejestru przez ccleaner okienko nadal wyskakuje.

Poniżej zamieszczam logi z FRST:

Addition:
Dostępne tylko dla zarejestrowanych użytkowników

FRST:
Dostępne tylko dla zarejestrowanych użytkowników

SHORTCUT:
Dostępne tylko dla zarejestrowanych użytkowników


Proszę o pomoc w rozwiązaniu opisanego problemu.

Roman.

[cosik_ktosik]

Sprawdziłbym najpierw czy nie siedzi to w autoruns, jest taki program, zobacz tam.

[XMan]

Optymalizacja autostartu z wykorzystaniem narzędzia Autoruns

[cosik_ktosik]

Dokładnie to, daj log albo sam przejrzyj wszystkie opcje, gdzieś tam pewnie siedzi uruchamianie tego ustrojstwa. Ewentualnie wyczyszczenie plików TMP w folderach systemowych poprzez narzędzie systemowe do oczyszczania dysku (jest w menu start).

[djarta]

Kod: Zaznacz cały

Startup: C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mcc1.dat [2016-05-30] ()

Znasz to ? Jeżeli nie to:

1. Otwórz notatnik i wklej:

CloseProcesses:
CHR HKU\S-1-5-21-3218015092-4181938765-4129496521-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx <nie znaleziono>
FF user.js: detected! => C:\Users\home\AppData\Roaming\Mozilla\Firefox\Profiles\u7d66u0d.default\user.js [2012-05-14]
FF HKLM-x32\...\Firefox\Extensions: [virtualKeyboard@kaspersky.ru] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\virtualKeyboard@kaspersky.ru => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [linkfilter@kaspersky.ru] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\linkfilter@kaspersky.ru => nie znaleziono
FF SearchEngineOrder.1: Search the web (Babylon)
FF Homepage: hxxp://www.google.pl/
FF Keyword.URL: hxxp://search.conduit.com/ResultsExt.as ... M=false&q=
Toolbar: HKLM-x32 - Brak nazwy - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - Brak pliku
Toolbar: HKU\S-1-5-21-3218015092-4181938765-4129496521-1000 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku
Toolbar: HKU\S-1-5-21-3218015092-4181938765-4129496521-1000 -> Brak nazwy - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - Brak pliku
HKU\S-1-5-21-3218015092-4181938765-4129496521-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.pl/
URLSearchHook: HKLM-x32 - (Brak nazwy) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - Brak pliku
URLSearchHook: HKU\S-1-5-21-3218015092-4181938765-4129496521-1000 - (Brak nazwy) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - Brak pliku
SearchScopes: HKU\S-1-5-21-3218015092-4181938765-4129496521-1000 -> DefaultScope {CF9F87A4-2316-42B4-858D-21FB35CDB33B} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
SearchScopes: HKU\S-1-5-21-3218015092-4181938765-4129496521-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&affID=110819&tt=100512_4_&babsrc=SP_ss&mntrId=c605c24e00000000000070f395b3f50d
SearchScopes: HKU\S-1-5-21-3218015092-4181938765-4129496521-1000 -> {CF9F87A4-2316-42B4-858D-21FB35CDB33B} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
Startup: C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mcc1.dat [2016-05-30] ()
C:\Users\home\OBSPWIN.exe
Task: {030E4712-70FB-46AB-8660-545AC8D54374} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: {035E193D-280D-4415-A5BA-AED96D03C370} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-06-25] (Adobe Systems Incorporated)
Task: {04B8EF0E-4BDB-488C-94F1-717BFDD09508} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {05053DA3-4DC9-4784-AB2F-A05D8D60237C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {05FE81AD-7EDA-4DA5-A5A5-D4D268609C95} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
Task: {0734EB79-6E28-432A-B2A7-5EB8612028D9} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {0BA754B5-0F46-4F76-8576-6825690290D9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {1109E651-11A8-49A8-A3A2-1CA4F9F57C9B} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku <==== UWAGA
Task: {1915B544-8886-4FE0-A36D-E95C52610B4F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {1EB7EA6A-5DE3-47ED-9F31-DCACAC3E023B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {2139B2C0-F658-4E53-90FD-A441819A82C4} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
Task: {2292CE5C-29EC-4AFC-89FB-9B95482851BD} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA
Task: {237BD0B2-B2F2-496B-B371-B717F6125FDC} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
Task: {2565A592-CDD4-47FA-9A20-E7EE425B6987} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2016-07-13] (Piriform Ltd)
Task: {26B88D04-B5A5-4F4C-AD50-DDD8B7621B60} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {3496BD9E-F4EE-4EF0-9FF0-FA1A9ADA48D9} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => %SystemRoot%\ehome\mcupdate [Argument = $(Arg0)]
Task: {440DB988-2F9F-4322-BB71-4509D1802B21} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {4836DC56-286D-4A68-829D-F2E1B472B474} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {52DD5E04-8910-4271-977B-2B6E3CA4E22D} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {5C02BC2A-ADEB-4C38-9AA9-4DB9AE379F52} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
Task: {5F1368D9-60B2-4586-9C31-142B2940001C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {6541B4A5-96D4-46D4-B7A9-D6833926ABF5} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {65BE040B-9ABA-46BD-BE02-EBBB7402E8FE} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => %SystemRoot%\ehome\mcupdate [Argument = -crl -hms -pscn 15]
Task: {664A3362-DE03-410B-A21F-2BC9AA2D5DA8} - System32\Tasks\{17AD1FAB-0137-4E09-A71A-4ACFEC224B02} => pcalua.exe -a C:\Users\home\Downloads\lide70win1211ea15us.exe -d "C:\Program Files (x86)\Mozilla Firefox"
Task: {71671A5F-A422-4EA8-B834-CF2D58DF44E6} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {745666DF-5B35-46E9-828F-97BA68BA7B08} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => %SystemRoot%\ehome\ehrec [Argument = /StartRecording]
Task: {75DAA51B-E3CF-475F-AABE-197399ACB673} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {76ACE116-13BE-4D3D-B7B6-BDAB0EA5CB00} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku <==== UWAGA
Task: {77E3CACB-C2B1-4FF3-86B6-49E9817DA54C} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {79B437BC-78DE-4B8F-9A1E-191604DD6727} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-07-15] (Adobe Systems Incorporated)
Task: {7F1CFE67-476E-4CB5-8E11-76AE68F22D11} - System32\Tasks\{6307A01C-A8CB-425E-B474-0AB55AA4563E} => pcalua.exe -a "C:\Program Files (x86)\RocketDock\unins000.exe"
Task: {8AD8C295-556B-4E41-A70E-0EA916704E61} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {96DD83A5-8B7B-4BC0-9C0A-5B74AD9B3E9D} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-04-24] (Google Inc.)
Task: {9829169E-FE9A-450D-9C65-95BD4B6CDBD4} - System32\Tasks\{1242A951-3D5B-4789-B753-ED847F0211BD} => pcalua.exe -a "C:\Program Files (x86)\Zenographics\{23193B19-E449-4795-AB91-BBEFAE118BB4}\SETUP.EXE" -c -u "HPCLJKCInstaller.dll=CLJ2600.INF"
Task: {9DE9975E-4C90-4A58-8FEC-F7721273D214} - System32\Tasks\Apple Diagnostics => C:\Program Files (x86)\Common Files\Apple\Internet Services\EReporter.exe [2016-07-08] (Apple Inc.)
Task: {9E9CEA1E-E99F-4256-A4A6-03AC68B271A0} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
Task: {A4885175-0C61-46AC-B20F-E124EAE76F6F} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {A85EB144-88DA-4EF7-8A6F-4BEE6A6C08D7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {AED951C2-CFAA-42BA-98B4-DB9A1B7C7AA3} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {B1491C53-D790-4BEA-B371-8684BF80CAB6} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {B65D95FB-BD2F-4714-B4A4-E5CD213628A4} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-04-24] (Google Inc.)
Task: {B90B11A7-C291-434A-8D4A-300978373172} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => %SystemRoot%\ehome\ehrec [Argument = /RestartRecording]
Task: {BEE82C31-BDE8-4205-B794-FFC379CED866} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {C5CEF3AF-E503-4E8A-894F-E6EC6B977D90} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe
Task: {CEF3F32A-E422-4D79-8911-C653E7233352} - \Microsoft\Windows\Setup\EOONotify -> Brak pliku <==== UWAGA
Task: {D727B1AA-0F46-49C6-B88F-8D154CDB7F40} - System32\Tasks\{56F18957-552A-4AE0-B951-30F542DFE675} => C:\Program Files (x86)\RocketDock\RocketDock.exe
Task: {D85BFCC1-9775-4A3F-B238-766FF9BD1601} - \DealPlyUpdate -> Brak pliku <==== UWAGA
Task: {E240F6B7-C068-4FC8-B5DA-8B7378B40DD5} - System32\Tasks\selfless => C:\Users\home\AppData\Local\Temp\TMP89X~1.TMP <==== UWAGA
Task: {E31FC029-FE4A-4B35-A76E-A7548F6C6B81} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {F398AAE5-9E32-422B-9D05-613D531B5301} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {F90166A3-DBC0-412F-9421-5372984F8878} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {FD4FDDAE-52E9-4DFE-851C-00C4290A4622} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA
Task: C:\WINDOWS\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
CMD: netsh firewall reset
EmptyTemp:

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Po tych wszystkich operacjach nowy komplet logów z FRST do kontroli. Podczas uruchamiania FRST ustaw żeby ponownie wykonały się Addition.txt oraz Shourtcupy.

[Roman77]

Bardzo dziękuję wszystkim za juz udzieloną pomoc i rozszerzenie mojej wiedzy.

Za wskazówką cosik_ktosik: znalazłem w autoruns wpis C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mcc1.dat , ten sam co podał djarta po wyłączeniu go za pomocą narzędzia Autoruns, okienko przestalo się pojawiać .
Dzięki XMan za link i instrukcje do Autoruns.
Dysk oczyściłem zgodnie z wskazówką cosik_ktosik.
Dzięki djarta za wsparcie w naprawie za pomocą przygotowanego przez Ciebie pliku naprawczego do FRST i czyszczeniu .
ADWCleaner wykryl 53 zagrozenia i je usunął.
JRT doczyścił.
System szybciej się ładuje.

Poniżej zamieszczam logi z FRST po wykonaniu wszystkich opisanych czynnościach:

Addition:
Dostępne tylko dla zarejestrowanych użytkowników

FRST:
Dostępne tylko dla zarejestrowanych użytkowników

SHORTCUT:
Dostępne tylko dla zarejestrowanych użytkowników

Dzięki raz jeszcze za Profesjonalną pomoc

Życzę sukcesów i satysfakcji,
Pozdrawiam

Roman

[djarta]

Jest OK.

1. Wykonaj wszystko z tego tematu: Kroki kończące temat. Raport z wynikami skanowania z MBAM do wglądu.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

[XMan]

Dobrze będzie jak jeszcze wrzucisz loga z autoruns w tym temacie:
Optymalizacja autostartu z wykorzystaniem narzędzia Autoruns
Przejrzą go koledzy którzy się znają i na pewno jeszcze coś znajdą, co można odznaczyć lub usunąć

[Roman77]

Dziękuję za sprawdzenie.

Poniżej przesyłam raport z skanowania Malwarebytes

Dostępne tylko dla zarejestrowanych użytkowników

oraz z skanowania Hitman Pro

Dostępne tylko dla zarejestrowanych użytkowników


Pozdrawiam

Roman

[djarta]

Usuń wszystko w Malwarebytes + wszystko w Hitman Pro z Potential Unwanted Programs.