Przekierowanie stron w przeglądarkach internetowych

[Lyniola]

Cześć,

 

Nie chcący raz za dużo kliknąłem dalej i zainstalował mi się jakiś SimpleFile, odinstalowałem go i usunąłem wszystko co było z nim związane.

Od tamtej pory gdy uruchamiam przeglądarkę i wcisnę np. tytuł artykułu otwiera mi się nowa karta z dziwną stroną.

 

Dane systemu: Windows 10 x64, zaktualizowany z Win 7.

 

W załączeniu logi, niestety bez GMER'a przy próbie zeskanowania otrzymałem bluescreeen'a, w trybie awaryjnym również.

Pojawia się błąd również w załączeniu.

 

 

 

Pozdrawiam.

Addition.txt

FRST.txt

Shortcut.txt

[Lyniola]

Przeanalizowałem swoje logi i zrobiłem własną fixlist'a.

 

Najważniejsze problem już się nie pojawia.

Dodaje dodatkowo fixlog'a i nowe logi.

 

W wolnej chwili proszę o podpowiedzi co warto jeszcze zrobić.

 

Fixlog.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Usunąłeś poprawne komponenty:

 

HKLM\...\Run: [Apoint] => C:\Program Files\DellTPad\Apoint.exe [745288 2015-06-25] (Alps Electric Co., Ltd.)

HKU\S-1-5-21-1659004503-920026266-725345543-24878\...\RunOnce: [uninstall C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64"

HKU\S-1-5-21-1659004503-920026266-725345543-24878\...\RunOnce: [uninstall C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626"

ShortcutTarget: vpngui.exe.lnk -> C:\Windows\Installer\{5FDC06BF-3D3D-4367-8FFB-4FAFCB61972D}\Icon09DB8A851.exe ()

FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF64_20_0_0_286.dll [2016-01-21] ()

FF Plugin-x32: @adobe.com/FlashPlayer -> C:\WINDOWS\SysWOW64\Macromed\Flash\NPSWF32_20_0_0_286.dll [2016-01-21] ()

R2 MlPatch; C:\Windows\system32\MlPatch.exe [2244912 2014-08-22] ()

R3 MkBusFilter; C:\Windows\system32\DRIVERS\MbmDeviceFilter.sys [50912 2015-08-03] ()

 

- Instalację Adobe Flash w Firefox

- Wpis startowy Cisco Systems VPN Client (vpngui.exe.lnk)

- Wpis startowy Dell odpowiedzialny za uruchamianie touchpad (Apoint)

- Sterownik Dell Mobile Broadband (MkBusFilter)

- Składnik Trigger External Graphics Family 15.05.1124.0179 (MlPatch). Popatrz w raporcie na składniki "Magic Control":

 

HKLM\...\Run: [TUCCDUtil] => C:\Program Files (x86)\Mct Corp\UVTP100\Driver\TUCCDUTIL\TUCCD.exe [1892560 2015-11-24] (Magic Control Technology Corporation)

R3 mctkmd; C:\Windows\system32\drivers\mctkmd64.sys [166608 2015-11-20] (Magic Control Technology Corporation)

R0 mctkmdldr; C:\Windows\System32\drivers\mctkmdldr64.sys [19584 2011-04-08] (Magic Control Technology Corporation)

S3 t2usb64; C:\Windows\system32\drivers\t2usb64.sys [462632 2015-11-30] (Magic Control Technology Corp.)
 

2015-12-29 15:52 - 2015-11-20 18:26 - 00166608 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\Drivers\mctkmd64.sys

2015-12-29 15:52 - 2015-11-19 12:05 - 00251632 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\mctux.dll

2015-12-29 15:52 - 2015-11-19 12:05 - 00251632 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\igdumdmx.dll

2015-12-29 15:52 - 2015-11-19 12:05 - 00203216 _____ (Magic Control Technology Corporation) C:\WINDOWS\SysWOW64\MCTU.dll

2015-12-29 15:52 - 2015-11-19 12:05 - 00203216 _____ (Magic Control Technology Corporation) C:\WINDOWS\SysWOW64\Igdumdmu.dll

2015-12-29 15:52 - 2014-08-22 17:10 - 02244912 _____ C:\WINDOWS\system32\mlpatch.exe

2015-12-29 15:52 - 2013-12-27 12:17 - 02215704 _____ (Magic Control Corp.) C:\WINDOWS\system32\MctKmdSvrx.exe

2015-12-29 15:52 - 2012-08-28 14:20 - 00313432 _____ C:\WINDOWS\system32\GManager.exe

2015-12-29 15:52 - 2012-03-02 15:49 - 00013440 _____ C:\WINDOWS\system32\Drivers\u3hpatch64.sys

2015-12-29 15:52 - 2011-04-08 16:38 - 00019584 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\Drivers\mctKmdldr64.sys

2015-12-29 15:52 - 2010-08-20 14:03 - 00336248 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\mctsetup64.dll

2015-12-29 15:47 - 2015-12-31 01:43 - 00000000 ____D C:\Program Files (x86)\Mct Corp

 

Adobe Flash da się przeinstalować, natomiast reszta wymaga rekonstrukcji (przywrócenie plików i odbudowa wpisów startowych, o ile nie usunąłeś folderu C:\FRST z kopią zapasową rejestru). Do usunięcia są także inne rzeczy, np. zmodyfikowany przez adware skrót przeglądarki, martwe zadania w Harmonogramie pozostawione po notyfikatorze darmowej aktualizacji do Windows 10 oraz Media Center odinstalowanym przy aktualizacji. Czyli:

 

 

 

1. Odinstaluj Spybot - Search & Destroy. To przestarzały program, dziś mało użyteczny.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
ShortcutWithArgument: C:\Users\lukasz.niszcz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursearching.com/?type=sc&ts=1453129004&z=ebaf80af459dbc8bae475f8gfz9wec6g7o7teefe1z&from=exp1&uid=liteonitxlcm-256m3sx2x5xx7mmx256gb_tw0wkjr2550852c51502
U3 idsvc; Brak ImagePath
U3 wpcsvc; Brak ImagePath
HKU\S-1-5-21-2387826781-902882918-947777316-500\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
Task: {02FC9FF5-8759-49FC-9CEB-686FC7FB5A4E} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe
Task: {0CD6FF09-58A3-4B2C-927B-7528CED8B7A9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {0EC5C0BE-5CCC-4B19-ADE9-F00C2EA7A267} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {1259D7A2-134A-4A0B-908C-F038C08D8E12} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {1464FBD3-68B0-4567-B6EF-5EE5929FC180} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {1799C230-7D13-4C25-8026-F135FBC20A9E} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {334E3401-1738-40F6-8640-E30C76D98C3D} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {37491E6E-81B9-43CF-A4F9-0B054203ADC4} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {3832A5E1-E6BF-45A2-BE4B-D535C92939D1} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {3A61D3FB-1D1C-4F15-8D58-93B9E7778CC2} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
Task: {3AE0C5C2-9C2E-4BC7-B6CC-DF3D0425FE7D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {424A2DC0-88C0-4442-9079-43527CC810FE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {51B3CCB5-CE4E-4B7D-A028-EE914860072C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {5649A0FA-B3B2-4067-B809-00EA4D7A255E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {60D80493-221D-4FEE-8596-B67C84E6BD80} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {68F5A15E-57C5-4CA4-808A-B2F97A507886} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {71C3449B-4B84-4E11-8C49-84D6D84AA0F6} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {77591D06-86C6-4E4C-B6F2-46B5399D1082} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {88C0CB85-782F-4CA6-85E6-1136C50245DA} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
Task: {893EEC8C-003A-4C87-A0A9-F7869ACE79F7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {976FE15B-5248-4F51-8D5D-D8FF90FAFE65} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe
Task: {97FA0725-3EEE-4BC3-8487-5BB07B2C9DB5} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {A305727A-EB4F-4751-8A99-43C9F27524C0} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {B108752F-F16E-4BD5-BF31-66DC182F7830} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku 
Task: {B6410507-ECA5-4F14-B9D8-C34CADC25BD1} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {BDD6B031-47CB-4D01-973F-A4FF0FB3EE3B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {C102FEE8-0B5E-43DF-A756-0F125A3B9555} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {C390023C-5579-4319-9CB5-B0ECF3022579} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
Task: {D738B853-C2B8-4FFC-B73E-84ACE112FD17} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {DE29C916-A03A-4B72-856C-4D3FB22D1685} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {E7BC4C15-A7BD-4D5B-A6BB-EFE10E2A37EE} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
Task: {EC9853A0-423E-4202-9F71-938F67F86BE4} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku 
Task: {EEB31A48-A641-4B29-BBD5-26CFF758BFF0} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: {F26EDAED-07CA-4403-89EE-8A6914E0F48A} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
RemoveDirectory: C:\Windows\ehome
RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center
RestoreQuarantine: C:\FRST\Quarantine\C\Windows\Installer\{5FDC06BF-3D3D-4367-8FFB-4FAFCB61972D}\Icon09DB8A851.exe.xBAD
RestoreQuarantine: C:\FRST\Quarantine\C\Windows\system32\MlPatch.exe.xBAD
RestoreQuarantine: C:\FRST\Quarantine\C\Windows\system32\DRIVERS\MbmDeviceFilter.sys.xBAD
Reg: reg load HKLM\TEMP C:\FRST\Hives\SOFTWARE
Reg: reg export HKLM\TEMP\Microsoft\Windows\CurrentVersion\Run C:\Users\lukasz.niszcz\Desktop\export1.reg
Reg: reg unload HKLM\TEMP
Reg: reg load HKLM\TEMP C:\FRST\Hives\SYSTEM
Reg: reg export HKLM\TEMP\ControlSet001\Services\MlPatch C:\Users\lukasz.niszcz\Desktop\export2.reg
Reg: reg export HKLM\TEMP\ControlSet001\Services\MkBusFilter C:\Users\lukasz.niszcz\Desktop\export3.reg
Reg: reg unload HKLM\TEMP
CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}
CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Na Pulpicie powstały trzy pliki export1.reg, export2.reg, export3.reg. Otwórz je do edycji w Notatniku. W pliku export1.reg zamień fragment w ścieżkach dostępu:

 

HKEY_LOCAL_MACHINE\TEMP na HKEY_LOCAL_MACHINE\SOFTWARE

 

W plikach export2.reg i export3.reg zamień:

 

HKEY_LOCAL_MACHINE\TEMP na HKEY_LOCAL_MACHINE\SYSTEM

 

Zapisz zmiany, następnie z prawokliku na wszystkie pliki opcja Scal.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[Lyniola]

Zrobione.

 

W załączeniu logi.

FRST.txt

Addition.txt

Fixlog.txt

[picasso]

Operacja przeprowadzona pomyślnie, a ubytki zostały zrekonstruowane. Adobe Flash Player 20 NPAPI przeinstalujesz zaś potem. Teraz:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy
RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy
CMD: del /q C:\Users\lukasz.niszcz\Desktop\export*.reg

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

[Lyniola]

Zrobione. W załączeniu logi.

AdwCleanerS1.txt

Fixlog.txt

[picasso]

1. Ostatni skrypt do FRST. Otwórz Notatnik i wklej:

 

DeleteKey: HKCU\Software\Mozilla\Extends
DeleteKey: HKLM\SOFTWARE\Wow6432Node\SimpleFiles

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Po jego pokazaniu:

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. Przeinstaluj Adobe Flash Player NPAPI Firefoxa, który naruszyłeś. Link do instalatora NPAPI także w w/w linku.

 

To tyle.

[Lyniola]

Dziękuję i przepraszam że działałem na własną rękę.

Fixlog.txt

[picasso]

Fix FRST pomyślnie wykonany. Możesz przejść do dalszych kroków. I to koniec operacji.

[Lyniola]

Zrobione.