picasso

Prawie wszystko zrobione. 1. Nie zapisałeś pliku fixlist w UTF-8 jak wyraźnie wskazywałam i folder z chińską nazwą po raz drugi nie został usunięty. W związku z tym, że masz problemy z wykonaniem tej czynności, ręcznie dokasuj przez SHIFT+DEL (omija Kosz) ten folder z dysku: C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 2. Zrób skan za pomocą Hitman Pro i dostarcz wynikowy log (zapisz plik do nowego pliku TXT, by wszedł w załączniki). Hitman wykryje jako "podejrzany plik" FRST, ale to będzie fałszywy alarm.

Wykonaj Odświeżenie systemu, co zachowuje dane użytkownika i pliki osobiste, z wyjątkiem zainstalowanych aplikacji desktopowych: KLIK.

Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Materiał edukacyjny na co uważać: KLIK.

Oczywiście. Nazwa katalogu musi być identyczna, gdyż taka jest użyta w komendach. Zadanie pomyślnie wykonane. Teraz kolejna porcja czynności już spod Windows: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{7eeba7ed-6d23-45db-acc1-9446edb91886}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8cd671a9-ba2c-47c9-bd00-a3f10f24c07d}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{ac44bb12-6a21-4e8b-951a-8ff4241ebb08}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{ac68ecdd-4914-4870-a1e1-01429c613cc5}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{e95fbbdf-51de-461c-83e4-313986eff50f}: [NameServer] 104.197.191.4 S1 bsdriver; \??\C:\WINDOWS\system32\drivers\bsdriver.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 CMD: ipconfig /flushdns CMD: netsh advfirewall reset Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

OTL usuwam, to stary program. Mam pytania: 1. Raporty FRST zrobione z poziomu wbudowanego w system konta Administrator a nie konta właściwego Katarzyna. Na którym więc koncie jest problem z komunikatami? Uruchomiony przez Administrator (2016-04-24 18:24:05) ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-2370511895-1405346756-3163204874-500 - Administrator - Enabled) => C:\Users\Administrator Katarzyna (S-1-5-21-2370511895-1405346756-3163204874-1001 - Administrator - Enabled) => C:\Users\Katarzyna 2. Jedna z ostatnich akcji to montaż cracka aktywacji KMSpico. Czy przypadkiem problemy nie pojawiły się po jego użyciu? Ten crack generuje także błędy w Dzienniku zdarzeń i należy się go pozbyć: Error: (04/23/2016 05:49:37 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Service_KMS.exe, wersja: 13.5.0.0, sygnatura czasowa: 0x53fb8768 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.3.9600.18264, sygnatura czasowa: 0x56e1bd71 Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x0000000000008a5c Identyfikator procesu powodującego błąd: 0x878 Godzina uruchomienia aplikacji powodującej błąd: 0xService_KMS.exe0 Ścieżka aplikacji powodującej błąd: Service_KMS.exe1 Ścieżka modułu powodującego błąd: Service_KMS.exe2 Identyfikator raportu: Service_KMS.exe3 Pełna nazwa pakietu powodującego błąd: Service_KMS.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: Service_KMS.exe5 Error: (04/23/2016 05:49:35 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: Service_KMS.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.IO.IOException Stos: w System.IO.__Error.WinIOError(Int32, System.String) w System.IO.FileStream.Init(System.String, System.IO.FileMode, System.IO.FileAccess, Int32, Boolean, System.IO.FileShare, Int32, System.IO.FileOptions, SECURITY_ATTRIBUTES, System.String, Boolean, Boolean, Boolean) w System.IO.FileStream..ctor(System.String, System.IO.FileMode, System.IO.FileAccess, System.IO.FileShare, Int32, System.IO.FileOptions, System.String, Boolean, Boolean, Boolean) w System.IO.StreamWriter..ctor(System.String, Boolean, System.Text.Encoding, Int32, Boolean) w System.IO.StreamWriter..ctor(System.String, Boolean, System.Text.Encoding, Int32) w System.IO.StreamWriter..ctor(System.String, Boolean, System.Text.Encoding) w System.IO.File.InternalAppendAllText(System.String, System.String, System.Text.Encoding) w Service_KMS.Logging.FileLogger.ᜀ(System.String ByRef) w System.Threading.ExecutionContext.RunInternal(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object) w System.Threading.ThreadHelper.ThreadStart() 3. Od kiedy konkretnie występuje problem? Są dostępne następujące punkty Przywracania systemu i czy któryś z nich ma datę, gdy problem nie występował: ==================== Punkty Przywracania systemu ========================= 17-04-2016 22:46:46 Zaplanowany punkt kontrolny 19-04-2016 00:49:11 Installed SWOOD 2015 (x64). 22-04-2016 18:40:30 Installed Spolszczenie

Czy na pewno na dysku są te ścieżki dostępu: C:\Pliki\dnsapix86.dll C:\Pliki\dnsapix64.dll

Poproszę o raporty z FRST, które przedstawią ogólnie stan systemu i co się uruchamia.

Wykonane. Skasuj z Pulpitu folder FRST. Zostało ostatnie konto Administratora.

kondzior1989 już w poprzednim Twoim temacie było powtarzane w kółko: proszę nie wklejać logów FRST bezpośrednio do posta. Logi mają być dostarczone w postaci oryginalnych plików jako załączniki forum. No i brakuje raportów FRST Addition i Shortcut. Czekam na trzy poprawne pliki: FRST.txt, Addition.txt i Shortcut.txt. Poza tym, rozwiń proszę wątek "Google wariuje", czyli o co Ci w ogóle chodzi, jaki konkretnie problem występuje.

We wszystkich plikach DMP z kwietnia powtarza się wątek sterownika przyczynowego klhk.sys i jest to sterownik Kasperskiego: S1 klhk; C:\Windows\System32\DRIVERS\klhk.sys [227512 2016-03-10] (AO Kaspersky Lab) Wstępnie skupię się więc na tym: Próba logowania doszła bardzo daleko bez BSOD, co potwierdzałoby wątek Kasperskiego (nie jest ładowany w awaryjnym). Spróbujemy wypiąć filtry Kasperskiego z myszy i klawiatury, by sprawdzić czy to pozwoli wklepać dane logowania. Gdyby się udało wejść do Trybu awaryjnego, usuwanie Kasperskiego poszłoby sprawniej niż próby ingerencji w program z poziomu RE. S3 klkbdflt; C:\Windows\System32\DRIVERS\klkbdflt.sys [49008 2016-03-10] (Kaspersky Lab ZAO) S3 klmouflt; C:\Windows\System32\DRIVERS\klmouflt.sys [48504 2016-03-10] (Kaspersky Lab ZAO) 1. W Notatniku przygotuj skrypt o treści: Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d mouclass /f Zapisz jako fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST jak poprzednio i klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Jeśli akcja się wykona poprawnie, sprawdź czy jest jakaś zmiana z klawiaturą i myszą na ekranie logowania w awaryjnym. Gdyby się udało wejść do awaryjnego, zastosuj narzędzie Kaspersky Remover. PS. Założyłam przywrócenie standardowego filtru dla klawiatury, ale prawdopodobnie trzeba uwzględnić też sterownik Synaptics (drajwer jest na białej liście i niewidoczny w FRST, ale w starcie jest wpis potwierdzający że jest zainstalowany): Reg: reg add HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d SynTP\0kbdclass /f Na razie ten wątek omijam.

Instrukcje dla Grzegorza: 1. Czyszczenie Firefox z adware: Po akcji z Pulpitu przez SHIFT+DEL (omija Kosz) skasuj folder Stare dane programu Firefox. 2. Odinstaluj adware i-Shop. Następnie otwórz Notatnik i wklej w nim: HKU\S-1-5-21-725345543-117609710-1801674531-1005\...\Run: [Gadu-Gadu] => "D:\Program Files\Gadu-Gadu\gg.exe" /tray HKU\S-1-5-21-725345543-117609710-1801674531-1005\...\Run: [i-Shop] => C:\Documents and Settings\Grzegorz\Dane aplikacji\ishop\ishop\1.4.2.4\ishop.exe [686080 2015-09-15] () HKU\S-1-5-21-725345543-117609710-1801674531-1005\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=107 C:\Documents and Settings\Grzegorz\Dane aplikacji\ishop C:\Documents and Settings\Grzegorz\Pulpit\Skrót do gg.lnk Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Poprawienie liter w skrótach, D:\Program files zastąpić C:\Program files: Shortcut: C:\Documents and Settings\Grzegorz\Menu Start\Programy\Outlook Express.lnk -> D:\Program Files\Outlook Express\msimn.exe (Brak pliku) Shortcut: C:\Documents and Settings\Grzegorz\Menu Start\Programy\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Grzegorz\Menu Start\Programy\Akcesoria\Książka adresowa.lnk -> D:\Program Files\Outlook Express\wab.exe (Brak pliku) Shortcut: C:\Documents and Settings\Grzegorz\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Grzegorz\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Brak pliku) 4. Zostały logi z Administratora do zrobienia. Jak mówiłam, domyślnie konto to widać tylko podczas wchodzenia w Tryb awaryjny.

AdwCleaner znalazł drobne szczątki adware. Uruchom go ponownie, następnie po kolei wybierz opcje Skanuj + Usuń. Przedstaw log z usuwania.

Kolejna porcja działań: 1. Przesyłam paczkę oryginalnych plików dnsapi.dll z Windows 10 Wersja 1511 x64. Na C:\ utwórz katalog C:\Pliki i w nim umieść rozpakowane z ZIP dwa pliki. Następnie przygotuj skrypt zamiany plików, tzn. do Notatnika wklej: CMD: copy /y C:\Pliki\dnsapix64.dll C:\Windows\System32\dnsapi.dll CMD: copy /y C:\Pliki\dnsapix64.dll C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_22114c18cd7ccd17\dnsapi.dll CMD: copy /y C:\Pliki\dnsapix86.dll C:\Windows\SysWOW64\dnsapi.dll CMD: copy /y C:\Pliki\dnsapix86.dll C:\Windows\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_2c65f66b01dd8f12\dnsapi.dll Plik zapisz pod nazwą fixlist.txt. Tym razem nie musi być w UTF-8. Pliki fixlist.txt oraz FRST64.exe umieść na pendrive. 2. Uruchom FRST z poziomu WinRE: KLIK. Wybierz opcję Napraw (Fix). Na pendrive powstanie plik fixlog.txt. Przedstaw go.

Ten plik Shortcut jest pusty i go usuwam. Jak mówiłam, wystarczą mi poprzednie pliki Shortcut. Instrukcje dla Mamy: 1. Czyszczenie Firefox z adware: Po akcji z Pulpitu przez SHIFT+DEL (omija Kosz) skasuj folder Stare dane programu Firefox. 2. Poprawienie liter w skrótach, D:\Program files zastąpić C:\Program files: Shortcut: C:\Documents and Settings\Mama\Menu Start\Programy\Internet Explorer.lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Brak pliku) Shortcut: C:\Documents and Settings\Mama\Menu Start\Programy\Outlook Express.lnk -> D:\Program Files\Outlook Express\msimn.exe (Brak pliku) Shortcut: C:\Documents and Settings\Mama\Menu Start\Programy\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Mama\Menu Start\Programy\Akcesoria\Książka adresowa.lnk -> D:\Program Files\Outlook Express\wab.exe (Brak pliku) Shortcut: C:\Documents and Settings\Mama\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Mama\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Brak pliku) 3. Dostarcz raporty z Grzegorza.

Wszystko zrobione i problem powinien ustąpić. Ale jeszcze zrób dodatkowy skan: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wykonane. Skasuj z Pulpitu folder FRST. I zostały do sprawdzenia konta Mama, Grzegorz i Administrator, przy czym Administrator widoczny na ekranie logowania tylko przy wchodzeniu do Trybu awaryjnego.

W tym spisie plików jest też informacja, że katalog C:\$Windows.~BT pozostawiony po aktualizacji Windows ma niepoprawne pliki niepodpisane cyfrowo. Natomiast w kwestii braków podaj mi jeszcze skan czy istnieją foldery nadrzędne do których mają iść pliki. Otwórz Notatnik i wklej: Folder: C:\Windows\winsxs\x86_microsoft-windows-filtermanager-utils_31bf3856ad364e35_6.1.7600.16385_none_1964092586ab4352 Folder: C:\Windows\winsxs\x86_networking-mpssvc_31bf3856ad364e35_6.1.7601.17514_none_0c80f0c5176cbb85 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Nie odzywałam się, bo byłam chora, nie byłam w stanie siedzieć przed komputerem. Na Asi nie skorygowałeś tego skrótu: Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Na Agnieszce identyczne akcje jak na Asi: 1. Czyszczenie Firefox z adware: Po akcji z Pulpitu przez SHIFT+DEL (omija Kosz) skasuj folder Stare dane programu Firefox. Nawiasem mówiąc, na Asi to nie zostało wykonane. 2. Mini korekty. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-725345543-117609710-1801674531-1006\...\Run: [Gadu-Gadu] => "D:\Program Files\Gadu-Gadu\gg.exe" /tray HKU\S-1-5-21-725345543-117609710-1801674531-1006\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=107 C:\Documents and Settings\Agnieszka\Ustawienia lokalne\Dane aplikacji\d3d9caps.tmp C:\Documents and Settings\Agnieszka\Pulpit\Skrót do gg.lnk Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Poprawienie liter w skrótach, D:\Program files zastąpić C:\Program files: Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Outlook Express.lnk -> D:\Program Files\Outlook Express\msimn.exe (Brak pliku) Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Akcesoria\Książka adresowa.lnk -> D:\Program Files\Outlook Express\wab.exe (Brak pliku) Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Agnieszka\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Brak pliku) Shortcut: C:\Documents and Settings\Agnieszka\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> D:\Program Files\Internet Explorer\IEXPLORE.EXE (Brak pliku) 4. I jedziemy z kolejnym kontem. Pliku Shortcut nie musisz podawać ponownie. Poprzednie wystarczą.

Problem tworzą aktywne obiekty "Wintaske" i "Winsere". Przechodzimy do usuwania: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe wpisy Amazon 1Button App i Google Update Helper > Dalej. Narzędzie trzeba uruchomić dwa razy, gdyż nie umożliwia akcji hurtowej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316984 2016-03-23] () Task: {2F7E7FDE-E54A-4111-85FB-D2F791414A38} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\62E5D3C650397A97BBC0AF4668288F65\Update\BrowserUpdate.exe [2016-03-17] (Tencent) Task: {DE067BEA-6284-45AF-8E7B-F4CA3702382F} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-23] () HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\...\Run: [] => [X] SearchScopes: HKU\S-1-5-21-3621693401-2034365866-4225762973-1001 -> DefaultScope {C0554CB8-9428-4E10-BE75-44C1CBE39930} URL = SearchScopes: HKU\S-1-5-21-3621693401-2034365866-4225762973-1001 -> {C0554CB8-9428-4E10-BE75-44C1CBE39930} URL = FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF C:\Program Files (x86)\Amazon C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\ProgramData\FwinpF C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Amazon.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Amazon.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk C:\Users\Administrator\Desktop\Star Wars Knights of the Old Republic.lnk C:\Users\Piter\AppData\Local\IHeeaWA C:\Users\Public\Documents\IHeeaWA C:\WINDOWS\system32\log C:\WINDOWS\system32\Drivers\*.tmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Skrypt FRST nie znalazł niektórych obiektów, więc pewnie w międzyczasie je usunąłeś w jakiś sposób. Na wszelki wypadek możesz dodać świeże raporty FRST pokazuje jak obecnie wygląda system.

Wszystko pakujesz do jednego ZIP, ZIP rzuć na jakiś zewnętrzny serwis hostingowy i podaj do tego link.

Logi FRST skonfigurowane niezgodnie z wytycznymi na forum: opcje Lista BCD, MD5 sterowników oraz Pliki z 90 dni nie miały być zaznaczone. Poza tym zabrakło trzeciego obowiązkowego pliku FRST Shortcut. Proszę wykonaj raporty w oparciu o instrukcje: KLIK.

Tak, ten raport jest OK. Daj mi czas na przygotowanie instrukcji, gdyż muszę sprawdzić sumy kontrolne komponentów w swoim Windows 10 x64, a to niestety potrwa.

Szukanie w FRST z błędem zrobiłeś: dnsapi,dll zamiast dnsapi.dll, dlatego log jest pusty. Ponów szukanie z poprawną frazą. A SFC nie jest w stanie zreperować zarażonych plików. Czeka nas mozolne podstawianie ręczne przy udziale wiernych kopii dostarczonych z mojego systemu. Czekam na razie na wyniki szukania.

Narzędzie SFCFix nie jest orientowane na środowisko RE, a komunikat który otrzymujesz oznacza niezgodność bitów. Pomyliłeś post. "Post 3" to Uruchamianie SFC z poziomu WinRE. Niestety nawet nie będzie można sprawdzić co narzędzie zrobi lub czego nie zrobi, bo w RE nie jest nagrywany raport. Tylko tyle widać, że niektóre pliki Windows w sekcji Bamital & volsnap mają sumy kontrolne które nie występują w bazie FRST. To nie oznacza że sumy są niepoprawne, bo baza sum jest mozolnie uzupełniana ręcznie i po każdej aktualizacji Windows trzeba zgłaszać nowe. Wiele poprawnych sum nie występuje w bazie. I moim zdaniem te sumy są OK. Nie mam wprawdzie wiernego materiału porównawczego (mój Windows 7 z maszyny wirtualnej od jakiegoś czasu nie był aktualizowany), ale tu widać takie same, a sfc nie wykrył naruszeń + system uruchamia się w Trybie awaryjnym. Bardziej mnie zastanawia ten Kaspersky, cały majdan sterowników, w tym te filtrujące mysz i klawiaturę. Dostarcz spakowany do ZIP folder Minidump z plikami zrzutów pamięci oraz dodatkowo dwa pliki MEMORY.DMP + ntbtlog.txt: 2016-04-17 13:05 - 2016-04-17 13:05 - 00273184 _____ C:\Windows\Minidump\041716-24258-01.dmp 2016-04-14 01:13 - 2016-04-14 01:13 - 00273184 _____ C:\Windows\Minidump\041416-33789-01.dmp 2016-04-13 05:25 - 2016-04-13 05:25 - 00273184 _____ C:\Windows\Minidump\041316-21808-01.dmp 2016-04-13 04:56 - 2016-04-13 04:56 - 00273184 _____ C:\Windows\Minidump\041316-23368-01.dmp 2016-04-11 02:52 - 2016-04-11 02:52 - 00273184 _____ C:\Windows\Minidump\041116-21730-01.dmp 2016-04-17 13:05 - 2015-03-21 04:03 - 188230440 _____ C:\Windows\MEMORY.DMP 2016-04-11 02:43 - 2016-04-17 13:18 - 02297518 _____ C:\Windows\ntbtlog.txt Nawiasem mówiąc, ja się obawiam, że tu się klaruje reinstalacja systemu, której chcesz uniknąć. Stopień poprawności przywrócenia poprzedniej wersji systemu jest nie do sprawdzenia.