Przekierowywanie stron w Mozilli oraz blokada linków na stronach innych przeglądarek

[chiromancja]

1.Problem pierwszy na Firefoxie następuje przekierowanie na inna stronę przy próbie np. logowania się w formularzach
2. Problem drugi - na każdej przeglądarce: po otwarciu strony odnośniki są nieaktywne - kursor nie zmienia się w "łapkę". Jeśli wykonam dwuklik pojawia się niepożądane przekierowanie ale w nowym oknie. Jeśli teraz wracam na wyjściową stronę linki są aktywne. Po wybraniu któregoś na nowo otwartej stronie sytuacja się powtarza. System Windows 7 64 bit.
3. Komputer jest wolny, a po starcie gotowy do pracy po około 8-10 minutach
a/Wcześniej wyczyściłem za pomocą AdwCleaner
b/zainstalowałem nowego antywirusa AGV Smart Security

3. Nie potrafię odinstalować  poprzedniego antywirusa: Eset Smart Security. Podczas próby deinstalacji pojawia się komunikat: "ta akcja jest prawidłowa tylko dla produktów, które są zainstalowane"
AVG usunął:
- wirusa FakeAlert
- MalSignGeneric 7B6
- MalSignGeneric 225

Moje logi:

http://www.wklej.org/id/1681901/ - GMER.txt

http://www.wklej.org/id/1677727/ - FRST.txt

Proszę o pomoc

..........................

oto pozostałe logi:

http://www.wklej.org/id/1682737/ - Addtion.txt

http://www.wklej.org/id/1682738/ - Shortcut.txt

[picasso]

Log FRST wskazuje, że jest tu infekcja routera - widzę Cię na forum pod IP polskiego dostawcy, a z routera jest pobierany zachodni: KLIK.

 

Tcpip\Parameters: [DhcpNameServer] 104.236.63.225 8.8.8.8

 

Zaś instalacja AVG w sytuacji, gdy nie został odinstalowany ESET Smart Security to był błąd, to mogło nawet zablokować start systemu. Trzeci problem to wadliwe konto UpdatusUser od nVidia, które utraciło dostęp do własnego katalogu:

 

==================== Accounts: =============================
 

UpdatusUser (S-1-5-21-1926088973-195376477-783835292-1004 - Limited - Enabled) => C:\Users\TEMP.TAFA-Komputer.003
 

==================== Event log errors: =========================
 

Application errors:

==================

Error: (04/02/2015 10:02:10 AM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1511) (User: TAFA-Komputer)

Description: System Windows nie może znaleźć profilu lokalnego i loguje użytkownika przy użyciu profilu tymczasowego. Zmiany wprowadzone w profilu zostaną utracone po wylogowaniu.

 

 

Do wykonania następujące akcje:

 

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Przejdź w Tryb awaryjny Windows i zastosuj ESET Uninstaller.

 

3. Uruchom Reprofiler i przekieruj konto UpdatusUser na ścieżkę C:\Users\UpdatusUser (o ile istnieje).

 

4. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1926088973-195376477-783835292-1005\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
FF NetworkProxy: "type", 4
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S2 Update Hold Page; "C:\Program Files (x86)\Hold Page\updateHoldPage.exe" [X]
S3 PSKMAD; C:\Windows\System32\DRIVERS\PSKMAD.sys [47632 2013-04-29] (Panda Security, S.L.)
S3 AsrCDDrv; \??\C:\Windows\SysWOW64\Drivers\AsrCDDrv.sys [X]
S3 avchv; system32\DRIVERS\avchv.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
Task: {3A0FEC26-07CB-4BED-A670-27C6242DDFED} - System32\Tasks\{02D7EBDC-5B09-4132-A48D-E7EB641BBF64} => pcalua.exe -a "C:\Users\TAFA\Desktop\Faktury Express 5\unins000.exe" -d "C:\Users\TAFA\Desktop\Faktury Express 5"
Task: {5062DD93-DA8A-4736-9BB3-6ED7534AD7C5} - System32\Tasks\{DB5559BD-5582-4A8C-9482-E5D79154BBF6} => C:\Program Files (x86)\Polpress\Faktury Express 5\Faktury5.exe
Task: {8071CC89-E1B1-47FB-8749-F6A18E310D19} - System32\Tasks\{C8125838-BF18-4A19-A84B-A5CD94BF2494} => D:\Program Files (x86)\Polpress\Faktury Express 8\Faktury.exe
Task: {90DE59E6-C0CA-4E33-A574-DFF985C78FC4} - System32\Tasks\{907F0D9D-78F5-425B-BCC7-2202A296BE31} => pcalua.exe -a C:\Users\TAFA\Downloads\Setup(1).exe -d C:\Users\TAFA\Downloads
Task: {F00C4978-14DE-4502-8338-E318A84983C3} - System32\Tasks\{6A76267C-7CCF-46ED-A6EE-4200A7CFAAF8} => E:\Application\OCR\setup.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Faktury Express 5
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2011 SuperPłace
C:\ProgramData\TEMP
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (*).lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Windows Explorer (*).lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Windows Media Player (*).lnk
C:\Users\Admin\Desktop\Continue Icecream PDF Converter installation.lnk
C:\Users\Admin\Downloads\jxpiinstall*.exe
C:\Windows\System32\DRIVERS\PSKMAD.sys
RemoveDirectory: C:\Users\TEMP.TAFA-Komputer.000
RemoveDirectory: C:\Users\TEMP.TAFA-Komputer.001
RemoveDirectory: C:\Users\TEMP.TAFA-Komputer.002
RemoveDirectory: C:\Users\TEMP.TAFA-Komputer.003
CMD: ipconfig /flushdns
Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f
Reg: reg delete HKCU\Software\dobreprogramy /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Podsumuj na czym stoimy. Wypowiedź się też, czy Google Chrome jest zainstalowane i sprawne, gdyż wg logów nie za bardzo, choć ścieżka istnieje na dysku.

[chiromancja]

Podejrzewałem, że coś jest nie tak z routerem. Wielokrotnie mi się "wysypywał". Zmieniałem DNS w ustawieniach karty sieciowej, w routerze nie. Kupiłem nawet nowy TP Link TD-W8961ND ale się wstrzymałem z instalacją.

 

Jakiś czas temu po przywróceniu systemu /z punktu przywracania/ Windows nie był w pełni kompletny. Na przykład nie można było założyć nowego folderu i nie było dostępu do folderu drukarek itp. Znawca wpadł na pomysł zmiany użytkownika i poprzenosił co należało. Ale jak widać nie do końca.

 

Wszystko wykonałem.

 

Zrzut z ekranu z Reprofilera

 

Google Chrome uruchamia się po około 1,5 minuty i "muli" przy zmianie stron.

 

1.Fixlog.txt - http://www.wklej.org/id/1688063/

2.FRST.txt - http://www.wklej.org/id/1688041/

3.addition.txt - http://www.wklej.org/id/1688037/

[picasso]

ESET został pomyślnie usunięty, infekcja DNS również i są już adresy Netii:

 

Tcpip\Parameters: [DhcpNameServer] 62.233.233.233 87.204.204.204

 

 

Google Chrome uruchamia się po około 1,5 minuty i "muli" przy zmianie stron.

Jak sygnalizowałam, Google Chrome wygląda dziwnie. Proponuję reinstalację od zera:

 

1. Wyeksportuj tylko zakładki, następnie zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj przeglądarkę, przy deinstalacji wybierz opcję Usuń także dane przeglądarki. Przy okazji odinstaluj także inne stare wersje: Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI.

 

2. Otwórz Notatnik i wklej w nim:

 

S3 ESETCleanersDriver; C:\Windows\system32\Drivers\ESETCleanersDriver.sys [170280 2014-11-26] (ESET)
C:\Program Files (x86)\Google\Chrome
C:\Users\Admin\AppData\Local\Google\Chrome
C:\Users\Admin\AppData\Local\Google\Chrome SxS
C:\Windows\system32\Drivers\ESETCleanersDriver.sys
Reg: reg delete HKCU\Software\Google\Chrome /f
Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f
Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt.

 

3. Zainstaluj najnowsze Google Chrome - link w przyklejonym w sekcji aktualizacji programów: KLIK.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy Google Chrome działa poprawnie.

 

 

 

Zrzut z ekranu z Reprofilera

Nadal jest problem z kontem UpdatusUser i log FRST niezmiennie wykazuje powiązanie ze ścieżką tymczasową, już nowa została wyasygnowana:

 

UpdatusUser (S-1-5-21-1926088973-195376477-783835292-1004 - Limited - Enabled) => C:\Users\TEMP.TAFA-Komputer.000

 

Czy na dysku w ogóle jest folder C:\Users\UpdatusUser?

[chiromancja]

Prawie nic nie zrobiłem:

1.

odinstaluj także inne stare wersje: Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI.

po Twoim poście nastąpiła automatyczna modyfikacja i pojawiły się odpowiednio w/w programy w wersji 17 /szesnastki "zniknęły"/

2. nie odinstalowałem Google Chrome ponieważ brak jest deinstalatora. Nie ma go w folderze ani na liście w panelu sterowania.

3. nie używałem zatem narzędzi FRST

4.

Czy na dysku w ogóle jest folder C:\Users\UpdatusUser?

nie nie ma . Założyłem go. Nie za bardzo potrafię zrobić przekierowanie przy uzyciu Reprofilera-->"przekieruj konto UpdatusUser na ścieżkę C:\Users\UpdatusUser"

Na koniec ciekawostka.

Otóż jakieś 8 miesięcy temu zawiesił się program pocztowy Mozilla Thunderbird. Nie pobierał /IMAP/i nie wysyłał wiadomości. Pojawiał sie komunikat typu: przekroczono czas na połaczenie itp. i był znak zajętości programu Szperałem po wszystkich możliwych forach przez około tydzień. Jedyną podpowiedzią było by usunąć wszystkie wiadomości. Bo program automatycznie jest zasypywany/ lub wysyła jakieś powielone wiadomości. Usunąłem wszystkie z folderów i serwerów nic nie pomogło. Odpuściłem bo wpadłem na pomysł by założyć nowe konta na protokole POP. Program ruszył i dałem spokój bo było jak dawniej, w starszych programach. Nie analizowałem ani niczego nie podejrzewałem bo program działał tylko na innym protokole.

Po wykonaniu czynności z poprzedniego Twego posta o dziwo IMAP zaczął działać automatycznie. Ciekawe .

[picasso]

nie odinstalowałem Google Chrome ponieważ brak jest deinstalatora. Nie ma go w folderze ani na liście w panelu sterowania.

Wykonaj więc od razu punkty 2 + 3.

 

 

nie nie ma . Założyłem go. Nie za bardzo potrafię zrobić przekierowanie przy uzyciu Reprofilera-->"przekieruj konto UpdatusUser na ścieżkę C:\Users\UpdatusUser"

Na koniec ciekawostka.

Zakładanie folderu ręcznie nic nie wskóra, gdyż nie odbudujesz tym sposobem jego zawartości (rejestr i cała struktura konta). W związku z tym po prostu w kolejnej partii zadań usunę to konto całkowicie.

[chiromancja]

Niestety nie odinstalowałem Google Chrome. Jak pisałem wcześniej brak jest deinstalatora. Nie ma go w folderze ani na liście w panelu sterowania.

Użyłem zatem Revo Uninstaller. Po jego uruchomieniu Google Chrome nie jest "widziany" - brak go pośród istniejących programów.

Nie zrobiłem nic. Pliku instalacyjnego do Chrome nie mam - bo pomyślałem, żeby "nadgrać" tą wersję  i usunąć.

[picasso]

Niestety nie odinstalowałem Google Chrome. Jak pisałem wcześniej brak jest deinstalatora. Nie ma go w folderze ani na liście w panelu sterowania.

Użyłem zatem Revo Uninstaller. Po jego uruchomieniu Google Chrome nie jest "widziany" - brak go pośród istniejących programów.

Ale przecież mówię, byś pominął krok numer 1 i wdrożył punkty 2 (usuwanie komponentów Google skryptem FRST) + 3 (nowa instalacja Google Chrome).

[chiromancja]

Wykonałem punkty 2 i 3. Źle Ciebie zrozumiałem, że chodzi Ci punkty 2 i 3 z mojego postu.

http://www.wklej.org/id/1692683/ - FRST.txt

http://www.wklej.org/id/1692687/ -fixlog.txt

Zainstalowana Google Chrome wolno się otwiera i wolno wczytuje strony.

Pogorszyła się praca programów /po pierwszych działaniach było dobrze/: między innymi Mozilla Firefox i Thunderbird, Nitro Reader. Źle pracuje Windows w zakresie otwierania folderów i wczytywania plików.