picasso

Wszystko zrobione i problem powinien ustąpić. Ale jeszcze zrób dodatkowy skan: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wykonane. Skasuj z Pulpitu folder FRST. I zostały do sprawdzenia konta Mama, Grzegorz i Administrator, przy czym Administrator widoczny na ekranie logowania tylko przy wchodzeniu do Trybu awaryjnego.

W tym spisie plików jest też informacja, że katalog C:\$Windows.~BT pozostawiony po aktualizacji Windows ma niepoprawne pliki niepodpisane cyfrowo. Natomiast w kwestii braków podaj mi jeszcze skan czy istnieją foldery nadrzędne do których mają iść pliki. Otwórz Notatnik i wklej: Folder: C:\Windows\winsxs\x86_microsoft-windows-filtermanager-utils_31bf3856ad364e35_6.1.7600.16385_none_1964092586ab4352 Folder: C:\Windows\winsxs\x86_networking-mpssvc_31bf3856ad364e35_6.1.7601.17514_none_0c80f0c5176cbb85 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Nie odzywałam się, bo byłam chora, nie byłam w stanie siedzieć przed komputerem. Na Asi nie skorygowałeś tego skrótu: Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Na Agnieszce identyczne akcje jak na Asi: 1. Czyszczenie Firefox z adware: Po akcji z Pulpitu przez SHIFT+DEL (omija Kosz) skasuj folder Stare dane programu Firefox. Nawiasem mówiąc, na Asi to nie zostało wykonane. 2. Mini korekty. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-725345543-117609710-1801674531-1006\...\Run: [Gadu-Gadu] => "D:\Program Files\Gadu-Gadu\gg.exe" /tray HKU\S-1-5-21-725345543-117609710-1801674531-1006\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=107 C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\d3d9caps.tmp C:\Documents and Settings\Agnieszka\Pulpit\Skrót do gg.lnk Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Poprawienie liter w skrótach, D:\Program files zastąpić C:\Program files: Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Outlook Express.lnk -> D:\Program Files\Outlook Express\msimn.exe (Brak pliku) Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Akcesoria\Książka adresowa.lnk -> D:\Program Files\Outlook Express\wab.exe (Brak pliku) Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Brak pliku) Shortcut: C:\Documents and Settings\Agnieszka\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> D:\Program Files\Internet Explorer\IEXPLORE.EXE (Brak pliku) 4. I jedziemy z kolejnym kontem. Pliku Shortcut nie musisz podawać ponownie. Poprzednie wystarczą.

Problem tworzą aktywne obiekty "Wintaske" i "Winsere". Przechodzimy do usuwania: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe wpisy Amazon 1Button App i Google Update Helper > Dalej. Narzędzie trzeba uruchomić dwa razy, gdyż nie umożliwia akcji hurtowej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316984 2016-03-23] () Task: {2F7E7FDE-E54A-4111-85FB-D2F791414A38} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\62E5D3C650397A97BBC0AF4668288F65\Update\BrowserUpdate.exe [2016-03-17] (Tencent) Task: {DE067BEA-6284-45AF-8E7B-F4CA3702382F} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-23] () HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\...\Run: [] => [X] SearchScopes: HKU\S-1-5-21-3621693401-2034365866-4225762973-1001 -> DefaultScope {C0554CB8-9428-4E10-BE75-44C1CBE39930} URL = SearchScopes: HKU\S-1-5-21-3621693401-2034365866-4225762973-1001 -> {C0554CB8-9428-4E10-BE75-44C1CBE39930} URL = FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF C:\Program Files (x86)\Amazon C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\ProgramData\FwinpF C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Amazon.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Amazon.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk C:\Users\Administrator\Desktop\Star Wars Knights of the Old Republic.lnk C:\Users\Piter\AppData\Local\IHeeaWA C:\Users\Public\Documents\IHeeaWA C:\WINDOWS\system32\log C:\WINDOWS\system32\Drivers\*.tmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Skrypt FRST nie znalazł niektórych obiektów, więc pewnie w międzyczasie je usunąłeś w jakiś sposób. Na wszelki wypadek możesz dodać świeże raporty FRST pokazuje jak obecnie wygląda system.

Wszystko pakujesz do jednego ZIP, ZIP rzuć na jakiś zewnętrzny serwis hostingowy i podaj do tego link.

Logi FRST skonfigurowane niezgodnie z wytycznymi na forum: opcje Lista BCD, MD5 sterowników oraz Pliki z 90 dni nie miały być zaznaczone. Poza tym zabrakło trzeciego obowiązkowego pliku FRST Shortcut. Proszę wykonaj raporty w oparciu o instrukcje: KLIK.

Tak, ten raport jest OK. Daj mi czas na przygotowanie instrukcji, gdyż muszę sprawdzić sumy kontrolne komponentów w swoim Windows 10 x64, a to niestety potrwa.

Szukanie w FRST z błędem zrobiłeś: dnsapi,dll zamiast dnsapi.dll, dlatego log jest pusty. Ponów szukanie z poprawną frazą. A SFC nie jest w stanie zreperować zarażonych plików. Czeka nas mozolne podstawianie ręczne przy udziale wiernych kopii dostarczonych z mojego systemu. Czekam na razie na wyniki szukania.

Narzędzie SFCFix nie jest orientowane na środowisko RE, a komunikat który otrzymujesz oznacza niezgodność bitów. Pomyliłeś post. "Post 3" to Uruchamianie SFC z poziomu WinRE. Niestety nawet nie będzie można sprawdzić co narzędzie zrobi lub czego nie zrobi, bo w RE nie jest nagrywany raport. Tylko tyle widać, że niektóre pliki Windows w sekcji Bamital & volsnap mają sumy kontrolne które nie występują w bazie FRST. To nie oznacza że sumy są niepoprawne, bo baza sum jest mozolnie uzupełniana ręcznie i po każdej aktualizacji Windows trzeba zgłaszać nowe. Wiele poprawnych sum nie występuje w bazie. I moim zdaniem te sumy są OK. Nie mam wprawdzie wiernego materiału porównawczego (mój Windows 7 z maszyny wirtualnej od jakiegoś czasu nie był aktualizowany), ale tu widać takie same, a sfc nie wykrył naruszeń + system uruchamia się w Trybie awaryjnym. Bardziej mnie zastanawia ten Kaspersky, cały majdan sterowników, w tym te filtrujące mysz i klawiaturę. Dostarcz spakowany do ZIP folder Minidump z plikami zrzutów pamięci oraz dodatkowo dwa pliki MEMORY.DMP + ntbtlog.txt: 2016-04-17 13:05 - 2016-04-17 13:05 - 00273184 _____ C:\Windows\Minidump\041716-24258-01.dmp 2016-04-14 01:13 - 2016-04-14 01:13 - 00273184 _____ C:\Windows\Minidump\041416-33789-01.dmp 2016-04-13 05:25 - 2016-04-13 05:25 - 00273184 _____ C:\Windows\Minidump\041316-21808-01.dmp 2016-04-13 04:56 - 2016-04-13 04:56 - 00273184 _____ C:\Windows\Minidump\041316-23368-01.dmp 2016-04-11 02:52 - 2016-04-11 02:52 - 00273184 _____ C:\Windows\Minidump\041116-21730-01.dmp 2016-04-17 13:05 - 2015-03-21 04:03 - 188230440 _____ C:\Windows\MEMORY.DMP 2016-04-11 02:43 - 2016-04-17 13:18 - 02297518 _____ C:\Windows\ntbtlog.txt Nawiasem mówiąc, ja się obawiam, że tu się klaruje reinstalacja systemu, której chcesz uniknąć. Stopień poprawności przywrócenia poprzedniej wersji systemu jest nie do sprawdzenia.

Nie zapisałeś pliku fixlist.txt w kodowaniu UTF-8, dlatego jedna z pozycji z chińskimi krzakami w nazwie została przerobiona na pytajniki, które uniemożliwiły poprawne usunięcie. Dokasuję tego śmiecia potem, bo na razie nie jest to takie istotne. Większość wykonana. Został problem modyfikacji DNS, czyli zarażone pliki Windows oraz multum podmienionych serwerów DNS. Wstępnie podaj więcej danych: 1. Uruchom skan sfc /scannow i dostarcz filtrowany raport końcowy: KLIK. 2. Podaj spis wszystkich instancji pliku. Uruchom FRST, w polu Szukaj wklej co poniżej, klik w Szukaj plików i dostarcz wynikowy log. dnsapi.dll

Niestety nie wygląda na to, by RepairDNS podmienił zainfekowane pliki, gdyż nie znajduje poprawnej niezainfekowanej kopii w systemie. Tym wątkiem zajmę się potem, gdyż wymagane inne działania. Natomiast naprawę FRST ponów z poziomu Trybu awaryjnego Windows: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > tu jest Tryb awaryjny.

Nie sprecyzowałeś wyraźnie, że chodzi Ci także o spowolnienie. W tym kontekście mocnym kandydatem jest tandem McAfee AntiVirus + McAfee WebAdvisor, przypuszczalnie preintegrowany w obrazie instalacyjnym Windows. To adres pobrany wcześniej z routera i może być pośrednim znakiem, że router był zainfekowany (np. laptop był tymczasowo wpięty w inną zainfekowaną sieć). Jeśli chodzi o usunięcie tego wpisu z rejestru: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{99F67456-3065-4C2A-ADF3-ADFA8E98F3C7}: [DhcpNameServer] 172.41.1.171 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Jedyne co jest w raporcie zastanawiające, to przypisany amerykański adres IP pobrany wcześniej z routera dla któregoś interfejsu sieciowego (nie wygląda na bieżący): KLIK. Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{266E3DBA-DC97-4756-AB01-BCF7A26362D2}: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{99F67456-3065-4C2A-ADF3-ADFA8E98F3C7}: [DhcpNameServer] 172.41.1.171 Poza tym nie widzę nic podejrzanego, żadnych aktywnych śladów infekcji. Tylko skasuj z Ulubionych tego śmiecia: InternetURL: C:\Users\monik_000\Favorites\Links\Internet .url -> hxxp://searchinterneat-a.akamaihd.net/sh?eq=U0EeE1FXE00SVEEFI14FUApARVZBJAgVUAgTGRgXdggJTFgQFQwOJAhcUwETFwwQeVgMR1sFHFdKMh9IFQQYREBTZlcFKVAWSWZXIVBKEg== Jaki link? Obecnie jest ustawiony poniższy (jest OK) i on właśnie przekierowuje na MSN: HKU\S-1-5-21-2850613821-2380182805-2248431766-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE07&ocid=UE07DHP To normalne i pożądane zachowanie. Cytuję z innego tematu:

Jest tu także m.in. infekcja DNS (zmodyfikowane pliki Windows dnsapi oraz serwery DNS), szkodliwe proxy, zmodyfikowane skróty LNK przeglądarek. Do wykonania następujące działania: 1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie plik RepairDNS.txt. 2. Klawisz z flagą Windows + X > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver S2 Dhrelrer; "C:\Users\Szymon\AppData\Roaming\Rikfootov\Rikfootov.exe" -cms [X] S2 Eruvwee; "C:\Users\Szymon\AppData\Roaming\LaexuGegobog\Reloace.exe" -cms [X] S2 GoogleChromeUpSvc; C:\ProgramData\Windows Update\svrupg.exe /s GoogleChromeUpSvc /uid:51490 /local:br [X] R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2016-04-22] () R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-13] (Huorong Borui (Beijing) Technology Co., Ltd.) U3 idsvc; Brak ImagePath HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe HKU\S-1-5-21-4276424981-2713209067-288409091-1000\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Task: {05C3600C-40EC-4E63-9A5F-2105F98D9B7C} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {06F04607-BEF3-49C1-8CEC-D28E2865CBEE} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {17CE9C82-49AF-4C53-AD91-69E85D5D3B5F} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {315CC409-90DB-4AAB-940A-055383D449CD} - System32\Tasks\Uwewbiut => C:\PROGRA~1\Kajajugt\Eiomu.bat Task: {375AB520-D0BD-4F25-8066-0D276CCE3B1B} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {38ACE4A9-F5C4-4F2D-BBA7-77CE0D4A2C13} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {47C8E20E-722F-4192-B6CC-CAE54108152F} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {4BA4A0DB-FC09-4A23-A51E-DF348FC06427} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {533D014E-7401-45B0-AFCF-B4745737BAF4} - System32\Tasks\{09B6534A-E643-43AA-8FC4-53515065EFFB} => pcalua.exe -a C:\Users\Szymon\Desktop\lan.exe -d C:\Users\Szymon\Desktop Task: {53EEFA49-BDEA-4B34-8EA9-16035B9559AD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {6AD6E28B-DEE8-4F9C-A812-C94EBE95C5FE} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {70DAA573-D6D9-4085-978B-526796BE8BF0} - System32\Tasks\{24698712-5384-45EA-B144-B7B90FFE497F} => pcalua.exe -a "C:\Program Files (x86)\CleanBrowser\uninstall.exe" -c /uninstall Task: {76694CB5-F0BE-4A30-A2DA-0CED42C4B3C4} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {77F0CA31-1D3F-4B21-9724-62005C21BE02} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {7AE0A934-88EF-4BAE-9FFD-1EDAD36BCFF7} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {7C642C6E-875A-41A6-A06B-B88C11C6E328} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {7E989495-7D7F-4DCC-94F9-15868417E469} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {820A1FEC-645D-4F32-9770-5779725ED0D4} - System32\Tasks\{4F06C048-A53C-4368-8C98-A1A003A76C1D} => pcalua.exe -a "C:\Program Files (x86)\Common Files\QuoLex\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\QuoLex\uninstall.dat" -a uninstallme 858994B3-EC67-4B59-A854-860E92ED4256 DeviceId=d0601d40-484b-6a4c-1bb7-9b55d2e076ef BarcodeId=51129011 ChannelId=11 DistributerName=APSFSWAds Task: {8D312885-289B-4A98-A0A6-81DD3BC27FD8} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {8EA848ED-229A-4F56-BC52-0E0CCD64845C} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {8EF30688-F407-4FCA-9A53-CD9F276456C8} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B8EDD047-1D5C-4FF8-81A4-88A482C0BEFA} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {BE72A21A-3886-4D8D-AA6E-F14415F58F31} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {E4AE84F3-6EEF-44AB-922B-6E44A3605B75} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {F3FA61AE-D7B8-4235-A979-445BA9E3095F} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {F4A227C4-73BA-4C28-AD53-3F2061D5B5EE} - System32\Tasks\Redywo => C:\PROGRA~1\Ekeh\Uosietta.bat ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Users\Szymon\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461330738&a=1053638&src=sh&uuid=c332399b-d8a0-4ac9-b89e-fdbfe0b0dab8" ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Users\Szymon\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\chrome — skrót .lnk -> C:\Users\Szymon\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?34838 HKU\S-1-5-21-4276424981-2713209067-288409091-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms} HKU\S-1-5-21-4276424981-2713209067-288409091-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?34838 HKU\S-1-5-21-4276424981-2713209067-288409091-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms} HKU\S-1-5-21-4276424981-2713209067-288409091-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms} SearchScopes: HKU\S-1-5-21-4276424981-2713209067-288409091-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms} SearchScopes: HKU\S-1-5-21-4276424981-2713209067-288409091-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms} BHO-x32: Cash Kitten -> {9ea7bd36-2d13-4df3-837f-7ac273765e7d} -> Brak pliku CHR HomePage: Default -> search.mpc.am DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center C:\Program Files (x86)\badu C:\Program Files (x86)\osTip C:\Program Files (x86)\UCBrowser C:\ProgramData\hp.exe C:\ProgramData\webad.xml C:\ProgramData\AVG C:\ProgramData\Holdtams C:\ProgramData\Thunder Network C:\ProgramData\Windows Update C:\ProgramData\Microsoft\Windows\Start Menu\Programs\K-Lite Codec Pack\Configuration\madVR.lnk C:\uninst C:\Users\Public\Thunder Network C:\Users\Szymon\AppData\Local\app C:\Users\Szymon\AppData\Local\Avg C:\Users\Szymon\AppData\Local\Tempfolder C:\Users\Szymon\AppData\Local\UCBrowser C:\Users\Szymon\AppData\Local\Yeaplayer C:\Users\Szymon\AppData\LocalLow\Company C:\Users\Szymon\AppData\Roaming\*.* C:\Users\Szymon\AppData\Roaming\gplyra C:\Users\Szymon\AppData\Roaming\LaexuGegobog C:\Users\Szymon\AppData\Roaming\Macromedia C:\Users\Szymon\AppData\Roaming\MCorp C:\Users\Szymon\AppData\Roaming\Rikfootov C:\Users\Szymon\AppData\Roaming\Tueasjey C:\Users\Szymon\AppData\Roaming\UPUpdata C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Windows\ehome C:\WINDOWS\system32\fufj C:\WINDOWS\system32\ire C:\WINDOWS\system32\jevy C:\WINDOWS\system32\kam C:\WINDOWS\system32\kin C:\WINDOWS\system32\kokd C:\WINDOWS\system32\lew C:\WINDOWS\system32\pyau C:\WINDOWS\system32\sisx C:\WINDOWS\system32\sok C:\WINDOWS\system32\sow C:\WINDOWS\system32\tew C:\WINDOWS\system32\ubav C:\WINDOWS\system32\zitk C:\WINDOWS\system32\Drivers\bsdriver.sys C:\WINDOWS\system32\Drivers\cherimoya.sys C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\system32\Tasks\Microsoft\Windows\Media Center CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też pliki fixlog.txt + RepairDNS.txt.

To wygląda na problem tej konkretnej strony, jest sponsorowana reklamami. uBlock Origin reaguje u mnie podczas otwierania niektórych elementów, blokując stronę z komunikatem o zastosowaniu m.in. filtra "adnetworkperformance.com". Notabene: polecam właśnie ten bloker reklam, w zamian za poprzednio używane przez Ciebie AdBlock + Adblock Plus. Jakie "mruganie"? W Google Chrome? Jeśli chodzi o te niemieckie linki, to wstępnie przerób je na zwykłe foldery. Otwórz Notatnik i wklej w nim: Unlock: C:\Dokumente und Einstellungen Unlock: C:\Programme CMD: fsutil reparsepoint delete "C:\Dokumente und Einstellungen" CMD: fsutil reparsepoint delete C:\Programme CMD: dir /a C:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

Skasuj z D FRST i jego logi. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Przede wszystkim mam na uwadze partycję systemową (ale z tym nie musisz się śpieszyć), pozostałe mogą zostać jako "magazyn" zaszyfrowanych plików. Tak, w przypadku zaszyfrowanych danych, nawet jeśli nie ma żadnych widoków na ich odszyfrowanie, na wszelki wypadek zaleca się ich skopiowanie / zachowanie. DelFix wykonał zadanie. Skasuj plik raportu C:\delfix.txt.

Na koniec poczęstuj się DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Może któreś z rozszerzeń jest zmodyfikowane lub plik zasobów resources.pak (obie modyfikacje nie do wykrycia na poziomie raportu FRST). Spróbuj zrobić reinstalację Google Chrome "na czysto": Wyłącz synchronizację, punkt 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Po deinstalacji dokasuj (o ile same nie znikną) foldery: C:\Users\Pawcio\AppData\Local\Google + C:\Program Files (x86)\Google. Zainstaluj Google Chrome i zaimportuj zakładki. Nie instaluj żadnych rozszerzeń, do czasu sprawdzenia czy taka świeża postać Chrome też wykazuje problemy reklam.

Ja jednak sprawdziłabym czy te przekierowania będą występować także przy nieaktywnym rozszerzeniu YouTube Video Downloader. To jedyne rozszerzenie z listy, które budzi wątpliwości ze względu na pochodzenie. Wyłącz je całkowicie, przeładuj Google Chrome i podaj czy są jakieś widoczne zmiany. Jeśli chodzi o niemieckie obiekty na dysku, to oba są linkami symbolicznymi utworzonymi w roku 2014. Usunięciem ich zajmę się potem, bo teraz już prawie wychodzę z domu. 2014-11-20 23:59 Dokumente und Einstellungen [C:\Users] 2014-11-20 23:59 Programme [C:\Program Files]

Jeśli chodzi o problem z włączeniem komponentu .NET Framework 3.5, to na początek zrób skan sc /scannow i przedstaw wynikowy filtrowany raport: KLIK.

Modyfikacje pomyślnie usunięte. Drobne działania dodatkowe: 1. Kosmetyczny skrypt czyszczący lokalizacje tymczasowe i usuwający instalatory sponsorowanego "Avast SafePrice" z Firefox. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF HKLM\...\Firefox\Extensions: [sp@avast.com] - D:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - D:\Program Files\AVAST Software\Avast\SafePrice\FF C:\Users\Michal\Downloads\*.crdownload C:\Windows\system32\Drivers\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest potrzebny. 2. W Dzienniku zdarzeń jest drobny błąd WMI numer 10. Usuń go posługując się narzędziem Fix-it: KLIK.

Na jakich stronach (adresy URL) występują te przekierowania i jakie są przykładowe adresy przekierowań, które próbują się otwierać. Wg FRST natywny język systemu to polski, więc te obiekty albo są wynikiem wcześniejszej instalacji niemieckiego pakietu językowego, albo to resztki po nadpisaniu edycji Windows. Pokaż przykładowy DIR dysku C jak te obiekty wyglądają z poziomu linii komend. Otwórz Notatnik i wklej w nim: CMD: dir /a C:\ CMD: dir /a C:\Programme Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.