picasso

To nie jest wirus tylko adware. AdwCleaner go nie wykrywa, bo AdwCleaner bazuje na ręcznym dodawaniu definicji i niestety nie zawsze detekcje są dodane na czas. Droga nabycia to: KLIK (przypuszczalnie chodzi o portal dobreprogramy). I ten konkretny śmieć jest "sprytniejszy", nie instaluje się na poziomie przeglądarki lecz globalnie w Harmonogramie zadań - w Twoim przypadku jest to obiekt o nazwie BacteriophagesMonodistV2. Operacje do wdrożenia: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {339BA7E8-537F-42F6-B5F9-EA5EAE6FCF15} - System32\Tasks\BacteriophagesMonodistV2 => Rundll32.exe StylingsOxygenates.dll,main 7 1 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Diana\AppData\Local\BacteriophagesMonodist CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VAIO Premium Partners\VAIO Premium Partners.lnk" CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk" CMD: del /q "C:\Users\Diana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (2).lnk" CMD: del /q "C:\Users\Diana\Desktop\RadarSync PC Updater 2011.lnk" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Diana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nazwy logów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum. Bieżący log powstaje zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku: E:\Paula\Downloads. Działania do przeprowadzenia: 1. Odinstaluj: Adobe AIR (stara wersja), Search App by Ask (adware), Shared C Run-time for x64 (odpadek po odinstalowanym McAfee) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\1WdM1\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S2 PDIHWCTL; \??\C:\WINDOWS\system32\drivers\pdihwctl.sys [X] S1 wfdrvr_vw_1_10_0_28; system32\drivers\wfdrvr_vw_1_10_0_28.sys [X] ShortcutWithArgument: C:\Users\Paula\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 ShortcutWithArgument: C:\Users\Paula\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 ShortcutWithArgument: C:\Users\Paula\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 ShortcutWithArgument: C:\Users\Paula\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} HKU\S-1-5-21-1157153237-1038460167-4205843471-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} HKU\S-1-5-21-1157153237-1038460167-4205843471-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 HKU\S-1-5-21-1157153237-1038460167-4205843471-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 HKU\S-1-5-21-1157153237-1038460167-4205843471-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-1157153237-1038460167-4205843471-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} SearchScopes: HKU\S-1-5-21-1157153237-1038460167-4205843471-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} SearchScopes: HKU\S-1-5-21-1157153237-1038460167-4205843471-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1157153237-1038460167-4205843471-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} SearchScopes: HKU\S-1-5-21-1157153237-1038460167-4205843471-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1448204421&z=119d25c6d07a82b7559d655gfz1zcbaoce7zfgeebo&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403 FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\ypp9sdkk.default\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\ypp9sdkk.default\extensions\yahooprotected@gmail.com => nie znaleziono CHR HomePage: Default -> search.ask.com/?gct=hp CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449659037&z=69a6b343808de011cb6e9a4g0zfzdt9q6w1t5edc9m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9AD719403&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2015-11-13] CHR HKU\S-1-5-21-1157153237-1038460167-4205843471-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2015-11-13] CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-07-21] HKLM\...\Run: [HotKeysCmds] => C:\WINDOWS\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\WINDOWS\system32\igfxpers.exe ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku Task: {06B6A2B4-C7D2-4DF4-9EAA-0BF963E0E4A5} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe FirewallRules: [{9B83FB95-1F4F-4F4B-865E-754ED4DC11FA}] => (Allow) C:\Program Files\Common Files\mcafee\mcsvchost\McSvHost.exe FirewallRules: [{2EBF6869-8907-44D6-96D9-AF8D29724EBF}] => (Allow) C:\Program Files\Common Files\mcafee\mcsvchost\McSvHost.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\AskPartnerNetwork RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\1WdM1 RemoveDirectory: C:\ProgramData\FWMiniProF RemoveDirectory: C:\ProgramData\rWdMr RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\Users\Paula\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\Paula\AppData\Roaming\Picexa Viewer RemoveDirectory: C:\Users\Paula\AppData\Roaming\Shortcut RemoveDirectory: C:\Users\Paula\AppData\Roaming\TSv C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Paula\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Public\Desktop\Picexa.lnk C:\WINDOWS\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brak trzeciego obowiązkowego pliku FRST Shortcut. ESET to nie jest program wybitnie specjalizowany w instalacjach adware/PUP, a Spybot to przestarzały program. Operacje do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 10 Plugin, Adobe Reader 9.5.5 - Polish, Bing Bar, Gadu-Gadu 10, Java 7 Update 51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Lucyna\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\eWdMe\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Lucyna\Desktop\Google Chrome.lnk -> C:\Users\Lucyna\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 ShortcutWithArgument: C:\Users\Lucyna\Desktop\shronisko wc.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Users\Lucyna\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165" HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms} HKU\S-1-5-21-1745266210-4204149599-3607975665-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms} Toolbar: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1449061196&z=f6755e3469d3fa6b4c54e6ag8z3z2tde4qbg9g1t6o&from=cor&uid=SAMSUNGXHM321HI_S2HZJ9HB503165 CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku Task: {2B0EAD29-7362-48BA-9A5E-3E22F52D2B6F} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe Task: {3A403907-9F3D-4B5B-B37D-0949CC81712A} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: {80DA04E8-6A0D-43B8-89F5-E476155034F9} - System32\Tasks\{EA5F08D9-A8BF-4316-B9E3-338FCC9401C5} => pcalua.exe -a C:\Users\Lucyna\AppData\Roaming\yoursearching\UninstallManager.exe -c -ptid=cor Task: {F43EB2AA-C477-42B1-AEB3-25F7051833A1} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe HKU\S-1-5-21-1745266210-4204149599-3607975665-1000\...\Run: [HW_OPENEYE_OUC_blueconnect] => C:\Program Files (x86)\blueconnect\UpdateDog\ouc.exe [110592 2009-12-31] (Huawei Technologies Co., Ltd.) HKU\S-1-5-21-1745266210-4204149599-3607975665-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) BootExecute: autocheck autochk * sdnclean64.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\ProgramData\eWdMe RemoveDirectory: C:\ProgramData\JWMiniProJ RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Lucyna\AppData\Local\Opera Software RemoveDirectory: C:\Users\Lucyna\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Lucyna\AppData\Roaming\Shortcut RemoveDirectory: C:\Users\Lucyna\AppData\Roaming\TSv RemoveDirectory: C:\Users\Lucyna\AppData\Roaming\yoursearching RemoveDirectory: C:\windows\System32\Tasks\Safer-Networking C:\ProgramData\{*}.* C:\Users\Public\Desktop\Post Win10 Spybot-install.exe C:\windows\SysWOW64\pl.html CMD: for /d %f in (C:\Users\Lucyna\AppData\Local\{*}) do rd /s /q "%f" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym Addition + Shortcut, czyli trzy logi do przedstawienia. Dołącz też plik fixlog.txt.

Wszystko wykonane. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Czy masz płytę instalacyjną Vista?

W związku z tym, że to router tymczasowy, nie przykładam do niego dużej wagi obecnie, bo po powrocie Twojego routera sytuacja całkowicie ulegnie zmianie (inne urządzenie rozdzielające i zabawa od początku). Ale gdybyś chciał dalej drążyć temat, może być konieczna aktualizacja firmware tego routera, tylko nie wiem czy ten tymczasowy router podlega jakimkolwiek manipulacjom. Infekcja ma przyczynę w niezabezpieczonym routerze, Windows nie ma tu nic do rzeczy. Konkretnie chodzi o domyślny login (określone marki routerów mają publicznie znane loginy domyślne np. admin - admin) oraz niezamknięty dostęp do panelu zarządzenia: KLIK, KLIK. Gdy otrzymasz swój poprzedni router, trzeba będzie sprawdzić te wszystkie zabezpieczenia. I jaki to model tego właściwego routera? To nie mogło pomóc, żadnego związku z infekcją. To były w 99% drobne puste wpisy po odinstalowanych aplikacjach, nieaktywne.

Z FRST.txt: Tcpip\Parameters: [DhcpNameServer] 192.168.1.20 172.19.5.1 Tcpip\Parameters: [NameServer] 199.203.131.145 82.163.143.167 Tcpip\..\Interfaces\{2583ED45-891F-436E-B637-2DE714215E0A}: [NameServer] 199.203.131.145 82.163.143.167,8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{2583ED45-891F-436E-B637-2DE714215E0A}: [DhcpNameServer] 192.168.1.20 172.19.5.1 Tcpip\..\Interfaces\{F609D45B-B2ED-4CB9-9173-A7AEF8B78674}: [NameServer] 199.203.131.145 82.163.143.167 Tcpip\..\Interfaces\{F609D45B-B2ED-4CB9-9173-A7AEF8B78674}: [DhcpNameServer] 199.203.131.145 Z Addition.txt: DNS Servers: 199.203.131.145 - 82.163.143.167 Ilość wystąpień w FRST.txt zależy od ilości interfejsów sieciowych. Przykładowo może być kilka kart sieciowych. DhcpNameServer - serwery pobierane z routera. NameServer - serwery DNS ustawione spod Windows. Są tu szkodliwie zmodyfikowane oba typy ustawione na izraelskie DNS 199.203.131.145 82.163.143.167, przy czym to szkodliwe DhcpNameServer może należeć do odpadkowego interfejsu, bo inne wystąpienia DhcpNameServer mają wewnętrzne adresy routera. I szkodniki to adresy bieżące - spis z FRST.txt to wszystkie ustawienia z rejestru, ale w Addition.txt jest dodatkowy skan pobierany metodą ipconfig a nie przez rejestr, pokazujący które IP są aktywne. Operacje do wykonania: 1. Upewnij się w kwestii routera. Zaloguj się do routera i potwierdź jak są ustawione serwery DNS. Poza tym, zweryfikuj zabezpieczenia routera. Tzn. zmień hasło oraz sprawdź konfigurację dostępu do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom też ten test: KLIK. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zarządzaj połączeniami sieciowymi > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Odinstaluj stary dziurawy Adobe Flash Player 10 ActiveX. Następnie uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 4. Drobna korekta relatywna do uszkodzonego specjalnego skrótu IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Czyszczenie bufora DNS, cache oraz wpisów odpadkowych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Petite Honey; Brak ImagePath S2 Smarmy Appointment; "C:\Program Files\Smarmy Appointment\00f58bb3.ftf.ftf" [X] HKU\S-1-5-21-2561007068-3426219417-2760897497-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> CustomCLSID: HKU\S-1-5-21-2561007068-3426219417-2760897497-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Jan\AppData\Local\Temp\4af24f5a\temp\Win8.1_Lumia_drivers_new.rar.exe => Brak pliku Task: {3C383C77-6A90-4DF5-843D-D703F7E24414} - System32\Tasks\e-pity2015_kwiecien => C:\Program Files\e-file\e-pity2014\Assets\signxml.exe Task: {7BC31E8C-7AA4-448D-B519-5938ADE2025A} - System32\Tasks\e-pity2015_styczen => C:\Program Files\e-file\e-pity2014\Assets\signxml.exe FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2013-08-08] [brak podpisu cyfrowego] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Apple Software Update RemoveDirectory: C:\Program Files\Google RemoveDirectory: C:\Program Files\QuickTime RemoveDirectory: C:\Program Files\Common Files\Apple RemoveDirectory: C:\Users\Jan\AppData\Local\Apple RemoveDirectory: C:\Users\Jan\AppData\Local\Apple Computer RemoveDirectory: C:\Users\Jan\AppData\Local\Google RemoveDirectory: C:\Users\Jan\AppData\LocalLow\Apple Computer RemoveDirectory: C:\Users\Jan\AppData\Roaming\Apple Computer RemoveDirectory: C:\Users\Jan\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\is.dat C:\Program Files\uik.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\Users\Jan\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GG.lnk C:\Users\Jan\Desktop\GG.lnk C:\Users\Jan\Desktop\AGA\PIT Projekt 2013.lnk C:\Users\Jan\Desktop\alfprof3\INSTRUKC.LNK CMD: netsh advfirewall reset CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 6. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem reklam nadal występuje.

Samo wywołanie F8 nie powinno mieć nic do rzeczy i jest to przypadek. Wyłącz laptopa od zasilania, odczekaj chwilę i spróbuj go ponownie uruchomić. A tak poza tym, to czy na pewno masz pod F8 opcję "Napraw komputer"? Systemy Vista tego nie posiadają, o ile producent laptopa nie dodał tego na własną rękę.

Kończymy: 1. MBAM znalazł po prostu pliki pobranych "downloaderów", który inicjowały instalację adware. Usuń je ręcznie lub za pomocą MBAM. 2. Odinstaluj jeszcze Adobe Flash Player 20 NPAPI. To wtyczka dla nieistniejącego tu Firefoxa. 3. Ręcznie usuń FRST i jego logi z folderu Malware - narzędzia zlokalizowanego na Pulpicie. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Ostatnia poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9 DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Pytałam o przeglądarkę Edge, a nie Internet Explorer, chyba że zmyliła Cię ikona. I Fix FRST nie został wykonany poprawnie, zatrzymał się w połowie. Poprawka: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" S3 4F966B02736503C9; C:\WINDOWS\TEMP\160C40E.sys [165104 2015-12-16] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-16] () S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [82072 2015-09-23] (McAfee, Inc.) Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files\DrWeb RemoveDirectory: C:\Program Files\Common Files\Doctor Web RemoveDirectory: C:\Program Files\Common Files\McAfee RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\ProgramData\gWMiniProg RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Users\Marcin\AppData\Roaming\TSv RemoveDirectory: C:\Users\Marcin\Doctor Web RemoveDirectory: C:\Windows\System32\Tasks\Doctor Web RemoveDirectory: C:\Windows\System32\Tasks\McAfee C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Windows\system32\Drivers\dw_wfp.sys.delete-later-189796 C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\drivers\mfeelamk.sys C:\Windows\SysWOW64\data.bin C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart i powstać kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Uruchom AdwCleaner ponownie, tym razem wybierz po kolei opcje Skanuj i Usuń. Przedstaw log wynikowy z usuwania.

Ostatnia poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\gWMiniProg RemoveDirectory: C:\Users\tomicher\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\tomicher\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\tomicher\Desktop\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Windows\SysWOW64\findit.xml Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Mówiłam wyraźnie, by tylko uruchomić Skanuj i dostarczyć wyniki, nic jeszcze nie usuwać. Pośpieszyłeś się. I kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku te elementy: C:\Users\MAX\Desktop\Stare dane programu Firefox C:\Windows\system32\pl.html 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Wszystko zrobione. 1. Przełącz się na swoje konto Marcin, zainstaluj Google Chrome (o ile nadal z niego chcesz korzystasz) i zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. A jeśli Google Chrome ignorujesz, to krok zbędny i kończymy: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Proszę raporty umieścić jako załączniki forum.

Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare werje i zbędnik: Adobe AIR, Badanie mające na celu poprawę produktów HP Deskjet 2540 series, Java 8 Update 45. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} HKU\S-1-5-21-305616459-1921965142-1483707717-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B HKU\S-1-5-21-305616459-1921965142-1483707717-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} SearchScopes: HKLM -> {89C89667-0D1F-4550-93BE-E0933A3BF058} URL = hxxp://www.bing.com/search?q={searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} SearchScopes: HKLM-x32 -> {545586A8-C5C1-48F8-91A4-5C73A645BBBD} URL = hxxp://www.bing.com/search?q={searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-305616459-1921965142-1483707717-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} SearchScopes: HKU\S-1-5-21-305616459-1921965142-1483707717-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450115549&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=TOSHIBAXMK5065GSXN_Y0QUB1P5BXXY0QUB1P5B&q={searchTerms} SearchScopes: HKU\S-1-5-21-305616459-1921965142-1483707717-1001 -> {545586A8-C5C1-48F8-91A4-5C73A645BBBD} URL = SearchScopes: HKU\S-1-5-21-305616459-1921965142-1483707717-1001 -> {89C89667-0D1F-4550-93BE-E0933A3BF058} URL = BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton 360\Engine\21.7.0.11\IPS\IPSBHO.DLL => Brak pliku FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\juy03p7e.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\juy03p7e.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\juy03p7e.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\juy03p7e.default\extensions\yahooprotected@gmail.com HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-305616459-1921965142-1483707717-1000\...\Run: [] => [X] HKU\S-1-5-21-305616459-1921965142-1483707717-1000\...\RunOnce: [sysOff] => C:\Windows\SysWOW64\SYSPREP\ClosespV.exe HKU\S-1-5-21-305616459-1921965142-1483707717-1001\...\MountPoints2: {426a0e75-8601-11e5-884f-1c75087ab056} - E:\Startme.exe Task: {4EC95CF8-E4D6-48CA-BD30-7CB4C8C0AF66} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) R2 HPSLPSVC; C:\Users\Admin\AppData\Local\Temp\7zS59C6\hpslpsvc64.dll [1039360 2013-07-19] (Hewlett-Packard Co.) [brak podpisu cyfrowego] FirewallRules: [{8582E9FA-300A-4267-A93A-82632A5D6853}] => (Allow) C:\Users\Admin\AppData\Local\Temp\7zS59C6\hppiw.exe FirewallRules: [{BAC43470-0FFB-40DB-9ED8-5AD28FF1B060}] => (Allow) C:\Users\Admin\AppData\Local\Temp\7zS59C6\hppiw.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\ProgramData\JWMiniProJ RemoveDirectory: C:\Users\Admin\AppData\Local\Lenovo RemoveDirectory: C:\Windows\System32\Tasks\Lenovo C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Toshiba\Rejestracja gwarancji firmy Toshiba.lnk C:\Users\Admin\Documents\pliki\żeczy z pólpitó\Pliki instalacyjne Norton.lnk C:\Users\Admin\Documents\żeczy z pólpitó\Pliki instalacyjne Norton.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To tyle.

Nie, w skrypcie FRST jest tylko podmiana jednego pliku i nie ma tu żadnego ryzyka.

Czy odzyskałeś folder "GG" zgodnie z instrukcjami? A podany log AdwCleaner jest z kolejnej opcji Szukaj a nie Usuń - dostarcz plik z usuwania, w opisie na forum było wyraźnie podane jakie oznaczenie w nazwie mają logi z usuwania. Co do problemu z "posypaniem filmów" to pewnie jest to kwestia tego, że wycięłam wszystkie wtyczki MozillaPlugins (od nieistniejącego tu Firefoxa), z kluczy MozillaPlugins korzysta też staruszka Opera 12.x. To są wtyczki typu NPAPI, dla których wsparcie jest wycofywane ze względów bezpieczeństwa i za niedługo już żadna nowoczesna przeglądarka nie będzie ich obsługiwać, więcej na ten temat w przyklejonym: KLIK. Nie powiedziałeś o jaki typ filmów chodzi, ale albo byłby do przeinstalowania Adobe Flash Player 20 NPAPI, albo Microsoft Silverlight. Z tym, że ja sugeruję nie bawić się już w starą Operę i pozbyć się Adobe Flash Player 20 NPAPI całkowicie. I jak powiedziane w przyklejonym, nowoczesne przeglądarki nawet nie potrzebują już Adobe Flash do obsługi niektórych stron (np. Youtube). Widziałam ją w raporcie i miałam nawet zalecać deinstalację. Ta stara Opera nie jest w ogóle rozwijana i jest więcej problemów na różnych stronach, np. niezdatna na forach na silniku IPB4 - w ogóle nie ładuje się edytor forum. Brak przeglądarki alternatywnej, która chodzi na autorskim silniku Presto obecnym w Operze 12.x. Fani starej Opery kręcą się wokół nowej przeglądarki Vivaldi, ale to jest przeglądarka na silniku Chromium/Blink, tak jak najnowsza linia Opery, a poza tym faza testowa i są różne bugi. I posiadasz system 64-bit, żadna z zainstalowanych tu Oper nie jest 64-bitowa, a są dostępne natywnie 64-bitowe przeglądarki: co dopiero opublikowano stabilną edycję Firefox 64-bit, są też klony np. WaterFox.

Niestety bez zmian. Zmiana metody: 1. Przygotuj w Notatniku fixlist.txt o następującej treści: CMD: copy /q C:\Windows\System32\pl-PL\aelupsvc.dll.mui C:\Windows\winsxs\x86_microsoft-windows-a..structure.resources_31bf3856ad364e35_6.0.6000.16386_pl-pl_f539d28b07e02b53\aelupsvc.dll.mui Plik ten musi być w tym samym katalogu z którego będzie uruchamiany FRST w punkcie 2. 2. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. Klik w Napraw (Fix), plik fixlog.txt powstanie tam skąd był uruchamiany FRST. 3. Zaloguj się z powrotem do Windows i podaj fixlog.txt.

To nie jest problem infekcji. Skan MBAM owszem wykrył odpadki adware i inne, ale to nie ma związku z objawami. Temat przenoszę do działu Hardware. Dostarcz dane wymagane działem: KLIK. I jedna z ostatnich akcji to aktualizacja sterowników nVidia: 2015-12-18 16:21 - 2015-12-18 18:48 - 00000000 ____D C:\ProgramData\NVIDIA 2015-12-18 16:21 - 2015-11-14 07:12 - 00102520 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvStreaming.exe 2015-12-18 16:15 - 2015-11-14 07:20 - 06358648 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvcpl.dll 2015-12-18 16:15 - 2015-11-14 07:20 - 02983216 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvsvc64.dll 2015-12-18 16:15 - 2015-11-14 07:20 - 02554488 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvsvcr.dll 2015-12-18 16:15 - 2015-11-14 07:20 - 00938616 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvvsvc.exe 2015-12-18 16:15 - 2015-11-14 07:20 - 00523384 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nv3dappshext.dll 2015-12-18 16:15 - 2015-11-14 07:20 - 00385144 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvmctray.dll 2015-12-18 16:15 - 2015-11-14 07:20 - 00114296 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\oemdspif.dll 2015-12-18 16:15 - 2015-11-14 07:20 - 00074872 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nv3dappshextr.dll 2015-12-18 16:15 - 2015-11-14 07:20 - 00062584 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvshext.dll 2015-12-18 16:15 - 2015-10-28 08:39 - 06027430 _____ C:\WINDOWS\system32\nvcoproc.bin 2015-12-18 16:14 - 2015-11-17 07:27 - 11228816 _____ (NVIDIA Corporation) C:\WINDOWS\system32\Drivers\nvlddmkm.sys 2015-12-18 16:14 - 2015-11-16 04:54 - 42913912 _____ C:\WINDOWS\system32\nvcompiler.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 37881976 _____ C:\WINDOWS\SysWOW64\nvcompiler.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 22345848 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvoglv64.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 18487360 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvwgf2umx.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 18390832 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvoglv32.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 16561320 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvopencl.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 15933400 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvwgf2um.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 15839200 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvd3dumx.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 14844112 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvcuda.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 13533608 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvopencl.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 12870192 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvd3dum.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 12040952 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvcuda.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 03540544 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvapi64.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 03126800 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvapi.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 02876536 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvcuvid.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 02496632 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvcuvid.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 01905456 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvdispco6435900.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 01564792 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvdispgenco6435900.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 01016544 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvEncMFTH264.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00877688 _____ (NVIDIA Corporation) C:\WINDOWS\system32\NvFBC64.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00861816 _____ (NVIDIA Corporation) C:\WINDOWS\system32\NvIFR64.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00823232 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvEncMFTH264.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00689784 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\NvFBC.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00674096 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\NvIFR.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00501056 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvEncodeAPI64.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00422752 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvEncodeAPI.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00413816 _____ (NVIDIA Corporation) C:\WINDOWS\system32\NvIFROpenGL.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00369456 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\NvIFROpenGL.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00177600 _____ (NVIDIA Corporation) C:\WINDOWS\system32\nvinitx.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00155792 _____ (NVIDIA Corporation) C:\WINDOWS\SysWOW64\nvinit.dll 2015-12-18 16:14 - 2015-11-16 04:54 - 00034494 _____ C:\WINDOWS\system32\nvinfo.pb 2015-12-18 13:10 - 2015-12-18 13:11 - 303122384 _____ (NVIDIA Corporation) C:\Users\Paulina\Downloads\359.00-notebook-win10-64bit-international-whql.exe PS. Gdy się uporacie z problemem głównym, potem do wykonania drobny skrypt kosmetyczny na wpisy odpadkowe. To nie ma żadnego związku z problemem i nie pomoże w jego rozwiązaniu.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut. Problem tworzy zadanie FusesFountainsV2 w Harmonogramie, i w raporcie jest potwierdzone, że adware definitywnie nabyłeś przy "pomocy" portalu dobreprogramy.pl i "Asystent pobierania". Na dysku widać nie budzącą wątpliwości sekwencję czasową plik Asystenta > powstanie obiektów adware. Na temat pobierania z tego portalu: KLIK. 2015-12-15 21:39 - 2015-12-15 21:42 - 00000000 ____D C:\Users\LCK\AppData\Local\FusesFountains 2015-12-15 21:39 - 2015-12-15 21:39 - 00003432 _____ C:\Windows\System32\Tasks\FusesFountainsV2 2015-12-15 21:38 - 2015-12-15 21:38 - 00962128 _____ (Installer Soft Program ) C:\Users\LCK\Downloads\HD-Tune-12177-dp.exe Operacje do przeprowadzenia: 1. Odinstaluj crack aktywacji KMSpico v9.1.3. Wygląda na uszkodzony jakimiś działaniami. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {868A63A1-8CB5-4753-99B6-C7392120AF86} - System32\Tasks\FusesFountainsV2 => Rundll32.exe CoalitionerRamblers.dll,main 7 1 Task: {BEB6F7EE-E84C-42EC-998C-5EC29BC1ED64} - System32\Tasks\{A8057B96-2E90-4475-A24C-5880E8148EAE} => pcalua.exe -a C:\Users\LCK\Downloads\FIFA00\3DSetup\3DSetup.exe -d C:\Users\LCK\Downloads\FIFA00\3DSetup Task: {C56EFF53-5D88-40C9-85DD-DDCF10498360} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe HKU\S-1-5-21-3300732354-3664789897-2884040049-1001\...\Run: [ASRockXTU] => [X] HKU\S-1-5-21-3300732354-3664789897-2884040049-1001\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-3300732354-3664789897-2884040049-1001\...\MountPoints2: {747a59c9-7adf-11e5-8255-d0509963832c} - "I:\setup.exe" ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => No File ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => No File ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => No File GroupPolicyScripts: Restriction S3 AxtuDrv; \??\C:\Windows\SysWOW64\Drivers\AxtuDrv.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\LCK\AppData\Local\FusesFountains RemoveDirectory: C:\Users\LCK\AppData\Local\Google C:\Users\LCK\Downloads\*-dp*.exe C:\Users\LCK\AppData\Local\*.* C:\Windows\SysWOW64\*.tmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), pola Addition i Shortcut zaznaczone, czyli 3 logi dostarcz. Dołącz też plik fixlog.txt.

Nic się nie stanie, zatwierdź komunikat. To plik wyekstraktowany przez GMER i zbędny już po jego skanie, z Twojego raportu FRST: 2015-12-08 15:45 - 2015-12-08 15:45 - 00104960 _____ (GMER) C:\pxddypow.sys 2015-12-08 04:29 - 2015-12-08 04:29 - 00380416 _____ C:\Users\Lucynka\Downloads\xz0ufrpx.exe 2015-12-08 03:14 - 2015-12-18 14:41 - 00000000 ____D C:\FRST

Ale to nie jest rozwiązanie problemu tylko jego ukrycie. To jest ustawianie serwerów DNS Windows, te pobierane z routera są nadal zainfekowane. Polecili Ci to, gdyż ustawienie serwerów spod Windows bierze precedens nad serwerami routera, co nie zmienia faktu że infekcja w routerze nadal jest. Nie musiałeś kropkować danych, one są powszechnie znane. Z raportu wynika, że ustawiłeś serwer Orange spod Windows (NameServer), reszta pobierana z routera (DhcpNameServer) to nadal adresy infekcji. Tcpip\Parameters: [DhcpNameServer] 31.3.252.70 31.3.252.76 Tcpip\..\Interfaces\{15210E97-0B8D-4637-8A6F-1DAD74EEBA5B}: [NameServer] 194.204.152.34 Tcpip\..\Interfaces\{15210E97-0B8D-4637-8A6F-1DAD74EEBA5B}: [DhcpNameServer] 31.3.252.70 31.3.252.76 I prosiłam o: PS. Ad napisałeś = jestem kobietą.