picasso

Dla porządku zróbmy to w drugim temacie. A na komputerze mogła być zainstalowana wersja DEAMON Tools Lite, która nie posługuje się się sterownikiem SPTD tylko własnym, narzędzie SPTDinst nie wykryje więc nic. W przypadku problemów log z GMER opuść. W raporcie widać wyraźnie, że rzeczywiście ziazi stało się w trakcie pobierania Defragglera (dfsetup216.exe), przy czym wymieniony instalator jest poprawny, musiał być użyty inny mostowy "downloader". Oceniając zestaw adware w raportach z usuwania, owszem sądzę że przyczyną był "Asystent pobierania" dobrychprogramów. I w systemie nadal są obiekty adware: usługa MustangService_2015_10_10, polityki blokujące coś w Google Chrome i przekierowania searchinterneat-a.akamaihd.net w IE. Doczyszczanie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer2241.exe [236816 2015-10-09] (MustangService) S3 ALSysIO; \??\C:\Users\KRZYSZ~1\AppData\Local\Temp\ALSysIO64.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfWpdAEsSSX5NL04=&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfXRZD0AjREZWLE1LKUwT&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfWpdAEsSSX5NL04=&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-270605537-1721649966-1895909746-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130944528556762000&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\9a4b8b26-f4e0-4529-a5b4-93ec828f7e42 RemoveDirectory: C:\ProgramData\TempMoudleSet C:\Users\Krzysztof\Downloads\*-dp*.exe C:\Users\Krzysztof\Downloads\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. AdwCleaner wykrywał śmieci w preferencjach Firefox. Dla pewności jeszcze go przeładuj: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Zacznij od posprzątania bałaganu z oprogramowaniem zabezpieczającym, duplikaty funkcyjne: ==================== Zainstalowane programy ====================== McAfee LiveSafe (HKLM-x32\...\MSC) (Version: - ) ZoneAlarm Antivirus (x32 Version: 14.1.011.000 - Check Point Software Technologies Ltd.) Hidden ZoneAlarm Firewall (x32 Version: 14.1.011.000 - Check Point Software Technologies Ltd.) Hidden ZoneAlarm Free Firewall (HKLM-x32\...\ZoneAlarm Free Firewall) (Version: 14.1.011.000 - Check Point) ZoneAlarm Security (x32 Version: 14.1.011.000 - Check Point Software Technologies Ltd.) Hidden W systemie na chodzie cały pakiet McAfee LiveSafe skombinowany z zestawem ZoneAlarm który również wygląda na cały pakiet, tylko częściowo niepoprawnie odinstalowany. Jedyna widoczna pozycja to ZoneAlarm Firewall, reszta wpisów ukryta, a w systemie na chodzie cała pula sterowników Kasperskiego które powinny być składową antywirusa Zone (używa silnika Kasperskiego). Przy okazji można się pozbyć kilku zbędnych programów Lenovo. 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Lenovo Experience Improvement, Lenovo SHAREit (jeśli nie korzystasz), ZoneAlarm Free Firewall. - Zastosuj z poziomu Trybu awaryjnego Windows narzędzie Kaspersky Remover. Po jego użyciu opuść tryb awaryny. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > o ile będą widoczne, zaznacz na liście wpisy Metric Collection SDK 35, ZoneAlarm Antivirus, ZoneAlarm Firewall, ZoneAlarm Security > Dalej. Narzędzie nie umożliwia akcji hurtowej, należy je uruchomić tyle razy ile wpisów. 2. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. Opisz czy jest poprawa.

Chyba już tu nic więcej nie wymyślę. W raportach nie było oznak infekcji powiązanych ze zdarzeniem. Nie wiem w jaki sposób nastąpiło przejęcie danych.

Formatowanie raportów zepsute - proszę nie korzystaj z serwisu wklejto, zniekształca format i kodowanie raportów, ani nie uploaduj logów na zewnętrzny hosting (czekanie i reklamy). Skorzystaj z załączników forum. Proszę dołącz oryginalne pliki jakie powstały na dysku, a nie te już przeklejone treści zapisane ręcznie do nowych plików.

1. Uruchom AdwCleaner ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń. Przedstaw wynikowy log z akcji czyszczenia. 2. W związku z tym, że poprzednio akcje Firefox nie zostały wykonane, a AdwCleaner tak jakby sugeruje że nie zrobiłeś resetu Firefox, poproszę o nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, mający udowodnić, że wykonałeś zalecenia.

1. Uruchom AdwCleaner ponownie, wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Usuń pobrane skanery i ich logi z folderu C:\Users\Mariusz\Downloads\wir. Następnie zastosuj DelFix. W sygnaturce mam link do tematu podającego te dane. Z góry dzięki za ewentualne wsparcie.

Oczywiście możesz skopiować cały folder "user" na Pulpit konta "Ja". Ale tego folderu w całości właśnie nie można wstawić na świeżo założone konto, tylko wybrane elementy z niego. W folderach C:\Users\TEMP, C:\Users\TEMP.user-Komputer nie ma czego szukać. To są katalogi tymczasowe zrzucone przez system od zera gdy nie było możliwości zalogować poprawnie konta i tam nie ma poprzednich danych użytkownika. Usunięciem tych folderów zajmę się potem. Z żadnego z nich. To nie są poprawne magazyny, należą do tymczasowego konta. Interesuje Cię tylko i wyłącznie ścieżka C:\Users\user.

Skoro problem występuje we wszystkich komputerach sieci, to chodzi o któreś urządzenie sieciowe rozdzielające ruch i nie ma czego szukać w lokalnych ustawieniach systemu. Te wyniki w AdwCleaner są bez znaczenia, to tylko skutek przekierowań a nie ich przyczyna. To są rekordy z HTML5 Local Storage (rodzaj podobny do cookies / cache), tzn. otworzona została reklama > Chrome zapisało dane witryny > dane te nie powodują przekierowań. Skoro DNS są poprawne w obu sprawdzanych urządzeniach, to jeszcze posprawdzaj inne adresy IP w konfiguracji urządzeń.

To już sprawdzałam. Adresy DNS pobierane z routera zdają się być prawidłowe (Orange): Tcpip\Parameters: [DhcpNameServer] 194.204.159.1 194.204.152.34 Tcpip\..\Interfaces\{9355CF30-DD5B-4C3D-B90B-55B655DFBD70}: [DhcpNameServer] 194.204.159.1 194.204.152.34 W związku z powyższym zostaje kontakt z dostawcą sieciowym i zgłoszenie mu problemu infekcji sieciowej.

To już dawno zrobione. Poprzedni Fix FRST zawierał to: I wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder FRST. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Materiał do wglądu na co uważać: KLIK.

1. Fix FRST pomyślnie odblokował te klucze alternatywnych kont. Teraz zresetuj komputer, zaloguj się na Paulinę i sprawdź czy problem z folderami ustąpił. Podobnie na koncie Zbigniew. 2. Edycja wygląda na poprawną. W związku z tym zrób mi nowy komplet logów z Arka (FRST.txt + Addition.txt).

Czyli mam rozumieć, że w Dodaj/Usuń programy "AVG Web TuneUp" zwraca jakiś błąd podczas instalacji? Tu była bardzo stara wersja z lukami. Na temat Adobe Reader jest w temacie dedykowanym aktualizacjom: KLIK. Ewentualna instalacja nowszego Adobe Reader dopiero po wykonaniu poniższego skryptu w punkcie 2 (usuwa szczątkowe katalogi Adobe). Nie odpowiedziałeś na pytanie czy jest poprawa w działaniu systemu. A usterka Usług kryptograficznych pomyślnie naprawiona. Kolejne akcje: 1. W raporcie widzę jeszcze kontrolkę rozszerzonej wersji Microsoft Update. Ten komponent może obciążać usługę Automatycznych aktualizacji, co skutkuje spowolnieniem. Tutaj instrukcje jako przełączyć na zwykłe Windows Update: KLIK. 2. Kosmetyczne poprawki pod kątem wpisów odpadkowych. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 McShield; C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe [X] S3 McSysmon; C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe [X] HKLM\...\Run: [LaunchApp] => Alaunch HKU\S-1-5-21-16367085-3515729489-2401863920-1006\...\Run: [AvgUpdater0715tb] => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0715tb\0715tb_AVG-Secure-Search-Update_0715tb.exe /SETINFO /CMPID=0715tb /INFORETRY=-61 HKU\S-1-5-21-16367085-3515729489-2401863920-1006\...\MountPoints2: {6f7ea4aa-fea6-11e3-9319-00242b048028} - D:\Startme.exe HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-16367085-3515729489-2401863920-1006\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie Toolbar: HKLM - Brak nazwy - {0BF43445-2F28-4351-9252-17FE6E806AA0} - Brak pliku Toolbar: HKU\S-1-5-21-16367085-3515729489-2401863920-1006 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\All Users\Dane aplikacji\Adobe C:\Documents and Settings\All Users\Dane aplikacji\AVG2014 C:\Documents and Settings\Mariush\Dane aplikacji\Adobe C:\Documents and Settings\Mariush\Dane aplikacji\Mozilla C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\Adobe C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Program Files\GUM6F.tmp C:\Program Files\Adobe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi już potrzebne.

Zadania pomyślnie wykonane. Zastosuj DelFix. To wszystko. PS. I miej na uwadze, że aktualizacja Windows 7 > Windows 10 wyłączyła Przywracanie systemu.

Podaj mi jeszcze spis kopii plików. Uruchom FRST, w polu Szukaj wklej: aelupsvc.dll.mui;autoexec.bat;config.sys Klik w Szukaj plików i dostarcz wynikowy log.

Omiń wyniki typu Suspicious files oraz te: C:\Ross-Tech\VCDS-Lite\loader.exe Size . . . . . . . : 199 168 bytes Age . . . . . . . : 49.8 days (2015-10-26 21:26:53) Entropy . . . . . : 8.0 SHA-256 . . . . . : CAD4950C9C0B7473B001C6DCC2401E2B36911BC7B2C4A043BC83158BFAFA9B9D > HitmanPro . . . . : Malware Fuzzy . . . . . . : 106.0 References C:\Users\Dj Tedex Studio\Desktop\VCDS-Lite.lnk C:\Users\Dj Tedex Studio\AppData\Local\NVIDIA\NvBackend\StreamingAssets\sniper_elite_3\automated_launch.exe Size . . . . . . . : 46 592 bytes Age . . . . . . . : 273.0 days (2015-03-17 15:18:26) Entropy . . . . . : 5.2 SHA-256 . . . . . : C2436FAE74C8700B906D77C9C8E55F5A11FE49563C2D95B363E6B17500B5BEDB Product . . . . . : OL LanguageID . . . . : 0 > Bitdefender . . . : Trojan.GenericKD.2079543 Fuzzy . . . . . . : 106.0 C:\Users\Dj Tedex Studio\Desktop\Programy\LOIC.exe Size . . . . . . . : 134 144 bytes Age . . . . . . . : 538.8 days (2014-06-24 20:05:43) Entropy . . . . . : 7.5 SHA-256 . . . . . : 1D5FC634F976DC3C3F339E46365AF78940CB1F49CAA46E76E70F7C6CE8DAD089 Product . . . . . : Low Orbit Ion Cannon LanguageID . . . . : 0 > HitmanPro . . . . : Malware Fuzzy . . . . . . : 114.0 C:\Users\Dj Tedex Studio\Documents\My Games\FarmingSimulator2015\SaveGameEditor.exe Size . . . . . . . : 105 984 bytes Age . . . . . . . : 337.8 days (2015-01-11 19:32:20) Entropy . . . . . : 7.7 SHA-256 . . . . . : 893C1B0A6F1FA5E02EA6C008218F743844F9D3769DD5F17EB9092A0D11A3FD60 Product . . . . . : SaveGameEditor LanguageID . . . . : 0 > Bitdefender . . . : Gen:Variant.Kazy.534233 Fuzzy . . . . . . : 114.0 Cała reszta za to do usunięcia.

No cóż, ten komunikat oznacza stan początkowy właśnie, czyli konto o charakterze tymczasowym uruchamiane z C:\Users\TEMP (pomimo że komunikat mówi o C:\Windows\system32\config\systemprofile). Konto nie zostało przekierowane poprawnie w Reprofiler, z jednej z następujących przyczyn: - Albo coś źle wykonałeś z tymi sekwencjami Detach + Assign. - Albo zadanie zostało poprawnie wykonane, lecz coś jest nie tak z folderem C:\Users\user i system je ponownie odrzucił. Folder może być w taki sposób uszkodzony, że nie jest możliwe jego używanie. Proponuję już się z tym nie męczyć i po prostu założyć nowe konto wg następujących wytycznych: 1. Z poziomu sprawnego konta Ja przekopiuj co jest ważnego z folderu C:\Users\user. Ścieżki pod uwagę (ale samodzielnie przewertuj cały katalog "user"): ----> Zawartość Pulpitu, Dokumenty, Ulubione IE: C:\Users\user\Desktop C:\Users\user\Documents C:\Users\user\Favorites ----> Ustawienia programów: C:\Users\user\AppData\Local C:\Users\user\AppData\LocalLow C:\Users\user\AppData\Roaming Nie kopiuj przypadkiem tych folderów "Local" + "Roaming" w całości, tam mogą być śmieci adware i uszkodzenia. Kopiuj tylko i wyłącznie te dane, które są rzeczywiście "niezbędne". 2. Następnie w Panelu sterowania usuń to konto, zaznaczając także usuwanie danych użytkownika. Załóż nowe konto, zaloguj się na nie, wklej tam przekopiowane w punkcie 1 dane do korespondujących katalogów. Potwierdź wykonanie zadania.

Problemem jest infekcja DNS. Podawałam kilka razy gdzie konfigurować, z jakiejś przyczyny Twoje operacje były nie do końca udane. W ostatnim podejściu starałam się usunąć z rejestru wartości, by odpalić "aktualizację" danych + ponowne czyszczenie bufora DNS, ale widzę że to nie działa. Pokaż mi obrazki z tej akcji, co i gdzie konfigurujesz. Nie, dopóki nie rozwiążemy w/w przekierowań adware oraz nie wdrożymy korekty kont. Jeśli chodzi o konta, to zdaje się być problem właśnie w owych kluczach z "Odmową dostępu", mają wymazane całkowicie uprawnienia z nieznanej przyczyny (żaden z Fixów FRST tam nie grzebał). Podejście z resetem uprawnień: Tak jak poprzednio, ma być następujący układ: zaloguj Paulinę > opcja Przełącz użytkownika > zaloguj Zbigniewa > opcja Przełącz użytkownika > zaloguj Arka i na Arku wykonaj fixlist.txt o zawartości: Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Dostarcz wynikowy fixlog.txt.

1. Uruchom AdwCleaner ponownie, wybierz opcje Skanuj i Usuń. Gdy ukończy czyszczenie, przez SHIFT+DEL (omija Kosz) skasuj cały folder C:\AdwCleaner. 2. Uruchom MBAM i sprawdź czy nic się już nie pokazuje.

Uruchom AdwCleaner ponownie, wybierz po kolei opcje Skanuj i Usuń, dostarcz wynikowy log z czyszczenia.

Poprawki: 1. Brak oznak wykonania tej czynności, do wdrożenia: 2. Następnie uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Poprawki: 1. Nie ma żadnych oznak wykonania tej czynności, do wdrożenia: 2. Następnie uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix FRST w ogóle się nie wykonał... Zatrzymał się na pierwszej komendzie zabijania procesów i tylko tyle. Powtórz operację rozpisaną wcześniej w punkcie 1 ale z poziomu Trybu awaryjnego Windows. Po akcji dostarcz nowe logi jak wyliczone w punkcie 3.

Na dysku są ślady pobierania via "Asystent pobierania" dobrychprogramów. Więcej na ten temat: KLIK. Poza tym, instalowałeś skaner-naciągacz SpyHunter. Operacje do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: DarkEra (fałszywka adware udająca grę o podobnej nazwie), WebStorage (zbędny program ASUSa), WinZipper (adware). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis AVG PC TuneUp 2015 (pl-PL) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Grzegorz\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-15] () ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} HKU\S-1-5-21-1613788600-3209457753-647740577-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1613788600-3209457753-647740577-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1613788600-3209457753-647740577-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1448997730&z=9d5d9ad21295c904a8e9ebfgdz1zfb1tct3m3m7o3m&from=cor&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX HKLM-x32\...\Run: [] => [X] Task: {23F235CF-D548-48FB-8966-75755092B63F} - System32\Tasks\{06196729-D823-4903-B01A-83F5642DBE08} => pcalua.exe -a "D:\GRY\World of Warcraft\World of Warcraft Launcher.exe" -d "D:\GRY\World of Warcraft" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\7WdM7 RemoveDirectory: C:\ProgramData\7WMiniPro7 RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\Users\Grzegorz\AppData\Local\Avg RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\AVG RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\DarkEra RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\TSv RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Grzegorz\Downloads\*-dp*.exe C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DarkEra.lnk C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkEra.lnk C:\Users\Grzegorz\Downloads\SpyHunter-Installer.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Log FRST błędie skonfigurowany, nie tak jak polecone w instrukcjach: sekcje Lista BCD, MD5 sterowników, Pliki z 90 dni nie miały być zaznaczone. Działania do przeprowadzenia: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Oskar\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [0 2015-12-14] () R2 WdMan; C:\ProgramData\SWdMS\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S1 itdrvr_vw_1_10_0_25; system32\drivers\itdrvr_vw_1_10_0_25.sys [X] ShortcutWithArgument: C:\Users\Oskar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX ShortcutWithArgument: C:\Users\Oskar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX ShortcutWithArgument: C:\Users\Oskar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} HKU\S-1-5-21-439399660-922659106-66113066-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX HKU\S-1-5-21-439399660-922659106-66113066-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX HKU\S-1-5-21-439399660-922659106-66113066-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} HKU\S-1-5-21-439399660-922659106-66113066-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} SearchScopes: HKLM-x32 -> {8D9F0CE9-EF07-4174-91FA-0A7CF61163B4} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-439399660-922659106-66113066-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445788531&z=30ca44e5e3469aac42eb988g0zdz3w4m1b0b2o2m0t&from=cor&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX" StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX Task: {CA07F2EE-51E7-46BD-B955-538C2E399165} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\360 RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\HWdsManProH RemoveDirectory: C:\ProgramData\ZWMiniProZ RemoveDirectory: C:\ProgramData\SWdMS RemoveDirectory: C:\ProgramData\SWMiniProS RemoveDirectory: C:\ProgramData\vWdMv RemoveDirectory: C:\Users\Oskar\AppData\Local\Lenovo RemoveDirectory: C:\Users\Oskar\AppData\Local\MediaShow RemoveDirectory: C:\Users\Oskar\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\Oskar\AppData\Roaming\TSv RemoveDirectory: C:\Users\Oskar\AppData\Roaming\WinZipper RemoveDirectory: C:\Windows\System32\Tasks\Lenovo C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Oskar\Downloads\sh-remover.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan) skonfigurowany zgodnie z wytycznymi forum, ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut. Proszę wrócić do konfiguracji i uzupełnić ten brakujący log: KLIK.