picasso

Fix FRST wykonany. Natomiast wyniki wyszukiwania bogate i trzeba dokasować referencje śmiecia udającego "Google Chrome". Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\jIxmRfR DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\.htm DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\.html DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\.shtml DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\.xht DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\jIxmRfRHTM DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Clients\StartMenuInternet\jIxmRfRHTM DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\95f6f29c_0 DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.html DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.xht DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\Roaming\OpenWith\UrlAssociations\ftp\UserChoice Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_.html /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_.xht /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_https /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_http /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\UFH\SHC /v 1 /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\UFH\SHC /v 2 /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\RegisteredApplications /v jIxmRfRHTM /f Reg: reg delete "HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Nie, konto Marek to nie to konto. Chodzi o wbudowanego w system Administratora, który jest całkiem innym kontem awaryjnym: ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-725345543-117609710-1801674531-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator Agnieszka (S-1-5-21-725345543-117609710-1801674531-1006 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Agnieszka Asia (S-1-5-21-725345543-117609710-1801674531-1007 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Asia Grzegorz (S-1-5-21-725345543-117609710-1801674531-1005 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Grzegorz Mama (S-1-5-21-725345543-117609710-1801674531-1004 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Mama MarekM (S-1-5-21-725345543-117609710-1801674531-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\MarekM Ale skoro to konto nie jest widoczne na ekranie logowania w awaryjnym, to można założyć, że nie wchodzono na nie w ostatnim czasie, co obniża szanse by tam było coś zainstalowane. W pliku Shortcut widzę zresztą bardzo skromny wykaz elementów na tym koncie i brak skrótów Firefox (zanieczyszczony adware Firefox był na wszystkich innych kontach, ale nie tu). Czyli właściwie to darowałabym sobie uwidacznianie Administratora i logowanie na niego. Ale są do poprawnienia skróty na tym koncie: Shortcut: C:\Documents and Settings\Administrator\Menu Start\Programy\Internet Explorer.lnk -> D:\Program Files\Internet Explorer\IEXPLORE.EXE (Brak pliku) Shortcut: C:\Documents and Settings\Administrator\Menu Start\Programy\Outlook Express.lnk -> D:\Program Files\Outlook Express\msimn.exe (Brak pliku) Shortcut: C:\Documents and Settings\Administrator\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> D:\Program Files\Internet Explorer\IEXPLORE.EXE (Brak pliku) Shortcut: C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> D:\Program Files\Internet Explorer\IEXPLORE.EXE (Brak pliku) Sprawdź czy z poziomu Marka jesteś w stanie zedytować skróty w ścieżce Administratora.

Zmniejszenie widoczności efektu mogło się wiązać z postępującą aktualizacją rekordów DNS w cache. Skrypt FRST pomyślnie wykonany, raportujesz ustąpienie problemu, czyli kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. I wielkie dzięki za dotację.

kondzior to były znowu złe pliki (identyczna zawartość pliku Shortcut.txt udająca plik FRST.txt) i je ponownie usuwam.... Ja nie wiem co Ty robisz, że złe pliki mi dostarczasz, a wklejasz do posta jednak zawartość FRST.txt. Zrobiłam ten nieszczęsny plik FRST.txt ręcznie z tego co wklejałeś, bo bardzo trudno to od Ciebie uzyskać. W systemie nie ma oznak czynnej infekcji malware, ale w trakcie próby rozwiązania problemów doinstalowałeś program-oszust czyli YAC (Yet Another Cleaner). Jak rozumiem, problem z połączeniem występował już przed jego instalacją, a przynajmniej to sugeruje log z FRST. W takim przypadku podejrzanym w kwestii braku połączenia byłby stary Kaspersky Internet Security (wersja z 2013/2014). Wstępnie: 1. Zacznij od pozbycia się YAC. Skrót deinstalacji jest w Menu Start: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC\uninstall.lnk -> C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe (Elex do Brasil Participações Ltda) -> -uninst Jeśli będzie problem z jego uruchomieniem, wejdź do folderu C:\Program Files (x86)\Elex-tech\YAC, prawy klik na "uninstall.exe" i "Uruchom jako Administrator". Po operacji zresetuj system. 2. Następnie tradycyjnie z poziomu Panelu sterowania odinstaluj stary Kaspersky Internet Security. Po deinstalacji wejdź do Trybu awaryjnego i użyj narzędzie Kaspersky Remover. 3. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST oraz wszystkie logi FRST z katalogu Pobrane (pliki FRST.txt, Addition.txt, Shortcut.txt). Następnie pobierz FRST na Pulpit, uruchom z Pulpitu, zaznacz pola Addition i Shortcut i zrób skan. Na Pulpicie powstaną trzy pliki: FRST.txt, Addition.txt, Shortcut.txt. Nie otwieraj tych plików, nie przeklejaj z nich nic, po prostu te pliki dostarcz poprzez na spodzie w edytorze Więcej opcji > Dołącz pliki. Nie wklejaj zawartości plików do posta.

Skasuj z dysku plik raportu C:\delfix.txt. To wszystko. Temat rozwiązany. Zamykam.

Tak jak mówiłam, nie dokonały się żadne zmiany i sprawa nadal aktualna. Foldery komponentów na dysku są. Czyli przechodzimy do podstawiania plików: 1. Przesyłam paczkę plików. Na C:\ utwórz katalog C:\Pliki i w nim umieść rozpakowane z ZIP trzy pliki. Następnie przygotuj skrypt podstawiania plików, tzn. do Notatnika wklej: CMD: copy /y C:\Pliki\FirewallControlPanel.dll C:\Windows\SysWOW64\FirewallControlPanel.dll CMD: copy /y C:\Pliki\FirewallControlPanel.dll C:\Windows\winsxs\x86_networking-mpssvc_31bf3856ad364e35_6.1.7601.17514_none_0c80f0c5176cbb85\FirewallControlPanel.dll CMD: copy /y C:\Pliki\fltLib.dll C:\Windows\SysWOW64\fltLib.dll CMD: copy /y C:\Pliki\fltLib.dll C:\Windows\winsxs\x86_microsoft-windows-filtermanager-utils_31bf3856ad364e35_6.1.7600.16385_none_1964092586ab4352\fltLib.dll CMD: copy /y C:\Pliki\fltMC.exe C:\Windows\SysWOW64\fltMC.exe CMD: copy /y C:\Pliki\fltMC.exe C:\Windows\winsxs\x86_microsoft-windows-filtermanager-utils_31bf3856ad364e35_6.1.7600.16385_none_1964092586ab4352\fltMC.exe Plik zapisz pod nazwą fixlist.txt. Pliki fixlist.txt oraz FRST64.exe umieść na pendrive. 2. Uruchom FRST z poziomu WinRE: KLIK. Wybierz opcję Napraw (Fix). Na pendrive powstanie plik fixlog.txt. Przedstaw go. 3. Jeśli powyższa operacja się wykona poprawnie, ponownie uruchomiony skan sfc /scannow powinien zwrócić komunikat "nie wykryto naruszeń integralności".

Końcowe kroki: 1. Odinstaluj SUPERAntispyware. Obecnie to słaby program. Zostaw sobie za to MBAM i Hitman do skanów na żądanie. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Bratu podsunąć materiał edukacyjny na co uważać, bo rozwiązywane problemy to pochodna sponsorowanego instalatora / downloadera: KLIK.

W tym przypadku nie powinno mieć to znaczenia. Dla świętego spokoju, prócz podanego skanu na obecność folderów, możesz dostarczyć nowe wyniki wyszukiwania FRST na poprzednio zadane warunki. Ten skan będzie dowodem, że nie nastąpiły żadne przetasowania.

1. Hitman wykrył szczątki adware. Usuń za pomocą programu wszystkie wskazywane wyniki. 2. Dla pewności jeszcze jeden skan za pomocą Malwarebytes Anti-Malware. Przy instalacji odznacz opcję trial, by zainstalowała się tylko darmowa wersja. Dostarcz wynikowy log, o ile program coś znajdzie.

DelFix wykonał robotę. Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam.

vs. Kaspersky z tego co pamiętam jest oparty na Instalatorze Windows, więc nie można go odinstalować via Panel sterowania z poziomu trybu awaryjnego (nie działa usługa Instalatora), stąd specjalizowany usuwacz firmowy produktów Kasperskiego. A po tym spróbuj wejść do Windows normalnie i zrób logi FRST z tego poziomu.

Prawie wszystko zrobione. 1. Nie zapisałeś pliku fixlist w UTF-8 jak wyraźnie wskazywałam i folder z chińską nazwą po raz drugi nie został usunięty. W związku z tym, że masz problemy z wykonaniem tej czynności, ręcznie dokasuj przez SHIFT+DEL (omija Kosz) ten folder z dysku: C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 2. Zrób skan za pomocą Hitman Pro i dostarcz wynikowy log (zapisz plik do nowego pliku TXT, by wszedł w załączniki). Hitman wykryje jako "podejrzany plik" FRST, ale to będzie fałszywy alarm.

Wykonaj Odświeżenie systemu, co zachowuje dane użytkownika i pliki osobiste, z wyjątkiem zainstalowanych aplikacji desktopowych: KLIK.

Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Materiał edukacyjny na co uważać: KLIK.

Oczywiście. Nazwa katalogu musi być identyczna, gdyż taka jest użyta w komendach. Zadanie pomyślnie wykonane. Teraz kolejna porcja czynności już spod Windows: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{7eeba7ed-6d23-45db-acc1-9446edb91886}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8cd671a9-ba2c-47c9-bd00-a3f10f24c07d}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{ac44bb12-6a21-4e8b-951a-8ff4241ebb08}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{ac68ecdd-4914-4870-a1e1-01429c613cc5}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{e95fbbdf-51de-461c-83e4-313986eff50f}: [NameServer] 104.197.191.4 S1 bsdriver; \??\C:\WINDOWS\system32\drivers\bsdriver.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 CMD: ipconfig /flushdns CMD: netsh advfirewall reset Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

OTL usuwam, to stary program. Mam pytania: 1. Raporty FRST zrobione z poziomu wbudowanego w system konta Administrator a nie konta właściwego Katarzyna. Na którym więc koncie jest problem z komunikatami? Uruchomiony przez Administrator (2016-04-24 18:24:05) ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-2370511895-1405346756-3163204874-500 - Administrator - Enabled) => C:\Users\Administrator Katarzyna (S-1-5-21-2370511895-1405346756-3163204874-1001 - Administrator - Enabled) => C:\Users\Katarzyna 2. Jedna z ostatnich akcji to montaż cracka aktywacji KMSpico. Czy przypadkiem problemy nie pojawiły się po jego użyciu? Ten crack generuje także błędy w Dzienniku zdarzeń i należy się go pozbyć: Error: (04/23/2016 05:49:37 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Service_KMS.exe, wersja: 13.5.0.0, sygnatura czasowa: 0x53fb8768 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.3.9600.18264, sygnatura czasowa: 0x56e1bd71 Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x0000000000008a5c Identyfikator procesu powodującego błąd: 0x878 Godzina uruchomienia aplikacji powodującej błąd: 0xService_KMS.exe0 Ścieżka aplikacji powodującej błąd: Service_KMS.exe1 Ścieżka modułu powodującego błąd: Service_KMS.exe2 Identyfikator raportu: Service_KMS.exe3 Pełna nazwa pakietu powodującego błąd: Service_KMS.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: Service_KMS.exe5 Error: (04/23/2016 05:49:35 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: Service_KMS.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.IO.IOException Stos: w System.IO.__Error.WinIOError(Int32, System.String) w System.IO.FileStream.Init(System.String, System.IO.FileMode, System.IO.FileAccess, Int32, Boolean, System.IO.FileShare, Int32, System.IO.FileOptions, SECURITY_ATTRIBUTES, System.String, Boolean, Boolean, Boolean) w System.IO.FileStream..ctor(System.String, System.IO.FileMode, System.IO.FileAccess, System.IO.FileShare, Int32, System.IO.FileOptions, System.String, Boolean, Boolean, Boolean) w System.IO.StreamWriter..ctor(System.String, Boolean, System.Text.Encoding, Int32, Boolean) w System.IO.StreamWriter..ctor(System.String, Boolean, System.Text.Encoding, Int32) w System.IO.StreamWriter..ctor(System.String, Boolean, System.Text.Encoding) w System.IO.File.InternalAppendAllText(System.String, System.String, System.Text.Encoding) w Service_KMS.Logging.FileLogger.ᜀ(System.String ByRef) w System.Threading.ExecutionContext.RunInternal(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object) w System.Threading.ThreadHelper.ThreadStart() 3. Od kiedy konkretnie występuje problem? Są dostępne następujące punkty Przywracania systemu i czy któryś z nich ma datę, gdy problem nie występował: ==================== Punkty Przywracania systemu ========================= 17-04-2016 22:46:46 Zaplanowany punkt kontrolny 19-04-2016 00:49:11 Installed SWOOD 2015 (x64). 22-04-2016 18:40:30 Installed Spolszczenie

Czy na pewno na dysku są te ścieżki dostępu: C:\Pliki\dnsapix86.dll C:\Pliki\dnsapix64.dll

Poproszę o raporty z FRST, które przedstawią ogólnie stan systemu i co się uruchamia.

Wykonane. Skasuj z Pulpitu folder FRST. Zostało ostatnie konto Administratora.

kondzior1989 już w poprzednim Twoim temacie było powtarzane w kółko: proszę nie wklejać logów FRST bezpośrednio do posta. Logi mają być dostarczone w postaci oryginalnych plików jako załączniki forum. No i brakuje raportów FRST Addition i Shortcut. Czekam na trzy poprawne pliki: FRST.txt, Addition.txt i Shortcut.txt. Poza tym, rozwiń proszę wątek "Google wariuje", czyli o co Ci w ogóle chodzi, jaki konkretnie problem występuje.

We wszystkich plikach DMP z kwietnia powtarza się wątek sterownika przyczynowego klhk.sys i jest to sterownik Kasperskiego: S1 klhk; C:\Windows\System32\DRIVERS\klhk.sys [227512 2016-03-10] (AO Kaspersky Lab) Wstępnie skupię się więc na tym: Próba logowania doszła bardzo daleko bez BSOD, co potwierdzałoby wątek Kasperskiego (nie jest ładowany w awaryjnym). Spróbujemy wypiąć filtry Kasperskiego z myszy i klawiatury, by sprawdzić czy to pozwoli wklepać dane logowania. Gdyby się udało wejść do Trybu awaryjnego, usuwanie Kasperskiego poszłoby sprawniej niż próby ingerencji w program z poziomu RE. S3 klkbdflt; C:\Windows\System32\DRIVERS\klkbdflt.sys [49008 2016-03-10] (Kaspersky Lab ZAO) S3 klmouflt; C:\Windows\System32\DRIVERS\klmouflt.sys [48504 2016-03-10] (Kaspersky Lab ZAO) 1. W Notatniku przygotuj skrypt o treści: Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d mouclass /f Zapisz jako fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST jak poprzednio i klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Jeśli akcja się wykona poprawnie, sprawdź czy jest jakaś zmiana z klawiaturą i myszą na ekranie logowania w awaryjnym. Gdyby się udało wejść do awaryjnego, zastosuj narzędzie Kaspersky Remover. PS. Założyłam przywrócenie standardowego filtru dla klawiatury, ale prawdopodobnie trzeba uwzględnić też sterownik Synaptics (drajwer jest na białej liście i niewidoczny w FRST, ale w starcie jest wpis potwierdzający że jest zainstalowany): Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d SynTP\0kbdclass /f Na razie ten wątek omijam.

Instrukcje dla Grzegorza: 1. Czyszczenie Firefox z adware: Po akcji z Pulpitu przez SHIFT+DEL (omija Kosz) skasuj folder Stare dane programu Firefox. 2. Odinstaluj adware i-Shop. Następnie otwórz Notatnik i wklej w nim: HKU\S-1-5-21-725345543-117609710-1801674531-1005\...\Run: [Gadu-Gadu] => "D:\Program Files\Gadu-Gadu\gg.exe" /tray HKU\S-1-5-21-725345543-117609710-1801674531-1005\...\Run: [i-Shop] => C:\Documents and Settings\Grzegorz\Dane aplikacji\ishop\ishop\1.4.2.4\ishop.exe [686080 2015-09-15] () HKU\S-1-5-21-725345543-117609710-1801674531-1005\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=107 C:\Documents and Settings\Grzegorz\Dane aplikacji\ishop C:\Documents and Settings\Grzegorz\Pulpit\Skrót do gg.lnk Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Poprawienie liter w skrótach, D:\Program files zastąpić C:\Program files: Shortcut: C:\Documents and Settings\Grzegorz\Menu Start\Programy\Outlook Express.lnk -> D:\Program Files\Outlook Express\msimn.exe (Brak pliku) Shortcut: C:\Documents and Settings\Grzegorz\Menu Start\Programy\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Grzegorz\Menu Start\Programy\Akcesoria\Książka adresowa.lnk -> D:\Program Files\Outlook Express\wab.exe (Brak pliku) Shortcut: C:\Documents and Settings\Grzegorz\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Grzegorz\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Brak pliku) 4. Zostały logi z Administratora do zrobienia. Jak mówiłam, domyślnie konto to widać tylko podczas wchodzenia w Tryb awaryjny.

AdwCleaner znalazł drobne szczątki adware. Uruchom go ponownie, następnie po kolei wybierz opcje Skanuj + Usuń. Przedstaw log z usuwania.

Kolejna porcja działań: 1. Przesyłam paczkę oryginalnych plików dnsapi.dll z Windows 10 Wersja 1511 x64. Na C:\ utwórz katalog C:\Pliki i w nim umieść rozpakowane z ZIP dwa pliki. Następnie przygotuj skrypt zamiany plików, tzn. do Notatnika wklej: CMD: copy /y C:\Pliki\dnsapix64.dll C:\Windows\System32\dnsapi.dll CMD: copy /y C:\Pliki\dnsapix64.dll C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_22114c18cd7ccd17\dnsapi.dll CMD: copy /y C:\Pliki\dnsapix86.dll C:\Windows\SysWOW64\dnsapi.dll CMD: copy /y C:\Pliki\dnsapix86.dll C:\Windows\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_2c65f66b01dd8f12\dnsapi.dll Plik zapisz pod nazwą fixlist.txt. Tym razem nie musi być w UTF-8. Pliki fixlist.txt oraz FRST64.exe umieść na pendrive. 2. Uruchom FRST z poziomu WinRE: KLIK. Wybierz opcję Napraw (Fix). Na pendrive powstanie plik fixlog.txt. Przedstaw go.

Ten plik Shortcut jest pusty i go usuwam. Jak mówiłam, wystarczą mi poprzednie pliki Shortcut. Instrukcje dla Mamy: 1. Czyszczenie Firefox z adware: Po akcji z Pulpitu przez SHIFT+DEL (omija Kosz) skasuj folder Stare dane programu Firefox. 2. Poprawienie liter w skrótach, D:\Program files zastąpić C:\Program files: Shortcut: C:\Documents and Settings\Mama\Menu Start\Programy\Internet Explorer.lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Brak pliku) Shortcut: C:\Documents and Settings\Mama\Menu Start\Programy\Outlook Express.lnk -> D:\Program Files\Outlook Express\msimn.exe (Brak pliku) Shortcut: C:\Documents and Settings\Mama\Menu Start\Programy\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Mama\Menu Start\Programy\Akcesoria\Książka adresowa.lnk -> D:\Program Files\Outlook Express\wab.exe (Brak pliku) Shortcut: C:\Documents and Settings\Mama\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Mama\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Brak pliku) 3. Dostarcz raporty z Grzegorza.