picasso
-
Postów
36 516 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez picasso
-
Hmmm, są tu jakieś problemy. Katalog C:\Program Files\Bonjour tylko zaplanowany do usunięcia i nie ma śladów by ta akcja odbyła się podczas restartu. To dokończę potem. Na dodatek komenda resetu ustawień Zapory Windows zwróciła dziwny błąd. Poproszę o weryfikację poprawności plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.
-
yoursietes123 jak się go pozbyć?
picasso odpowiedział(a) na Anielica25 temat w Dział pomocy doraźnej
DelFix wykonał robotę. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam. -
Można wspomóc mój serwer przesyłając dotację. Link w mojej sygnaturze. Z góry dzięki za ewentualne wsparcie mojej działalności. Temat rozwiązany. Zamykam.
-
Natrętne reklamy w nowej karcie, przekierowania
picasso odpowiedział(a) na Masiej temat w Dział pomocy doraźnej
Niepełny zestaw obowiązkowych logów, brakuje plików FRST Addition + Shortcut. Wróć do konfiguracji i dostarcz brakujące raporty: KLIK. -
Proszę przeczytać zasady działu i dostarczyć obowiązkowe logi: KLIK.
-
Jest tu więcej obiektów adware, nie tylko tytułowy hijacker. Poza tym, widzę liczne próby crackowania Windows, w tym pobrany i uruchomiony crack aktywacji Chew7.exe - stanowczo odradzam, ten crack obniża wydajność systemu, 100% CPU i zamulenie. Działania do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Adobe AIR, Game Booster 3, Google Talk Plugin (już nie działa), Java 7 Update 65 (64-bit), Java 8 Update 25, Java SE Development Kit 7 Update 21 (64-bit), Splashtop Connect for Firefox oraz YTD Video Downloader 4.8.5 (adware w instalatorze). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {3c836676-f0ac-4921-b55a-03cfbf37b751}Gw64; C:\Windows\System32\drivers\{3c836676-f0ac-4921-b55a-03cfbf37b751}Gw64.sys [48784 2015-12-14] (StdLib) GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Far Cry 4\Play Far Cry 4.lnk -> C:\Program Files (x86)\R.G. Mechanics\Far Cry 4\bin\Launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Euro Truck Simulator 2 Multiplayer\Play Euro Truck Simulator 2 Multiplayer.lnk -> C:\Program Files (x86)\Euro Truck Simulator 2 Multiplayer\launcher.exe (ETS2MP Team) -> hxxp://www.omniboxes.com/?type=sc&ts=1449068806&z=87dfdda7c4feb5523185062g2zez0t8eeqbb1tfo1c&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Build and Shoot\Build and Shoot Launcher.lnk -> C:\Program Files (x86)\Build and Shoot\Launcher.exe (Buld Then Snip, LLC) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Mafia II\Mafia II Launcher.lnk -> C:\Program Files (x86)\2K Games\Mafia II\launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\Desktop\Build and Shoot Launcher.lnk -> C:\Program Files (x86)\Build and Shoot\Launcher.exe (Buld Then Snip, LLC) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\Desktop\Launcher GTA 5.lnk -> C:\Program Files (x86)\Grand.Theft.Auto.V.Full.Unlocked.PL\Launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor (Beta) (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor (Beta).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447153778&z=db35596b99f362ac8b52790g0z9z4m3g9wbcfbem9o&from=wpm07163&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Public\Desktop\Play Euro Truck Simulator 2 Multiplayer.lnk -> C:\Program Files (x86)\Euro Truck Simulator 2 Multiplayer\launcher.exe (ETS2MP Team) -> hxxp://www.omniboxes.com/?type=sc&ts=1449068806&z=87dfdda7c4feb5523185062g2zez0t8eeqbb1tfo1c&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms} HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms} HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1447153778&z=db35596b99f362ac8b52790g0z9z4m3g9wbcfbem9o&from=wpm07163&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1447153778&z=db35596b99f362ac8b52790g0z9z4m3g9wbcfbem9o&from=wpm07163&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-2930414122-1855830695-2752083529-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2930414122-1855830695-2752083529-1000 -> {14CBE3D7-E6F2-42cb-B35B-4601B9C19C73} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A7941509802&ie=UTF-8&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A7941509802&q={searchTerms} SearchScopes: HKU\S-1-5-21-2930414122-1855830695-2752083529-1000 -> {4F921B95-F030-46e5-9987-6B55CE38B167} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM-x32\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a1}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a1} FF HKLM-x32\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a0}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a0} FF HKLM-x32\...\Firefox\Extensions: [{d9284e50-81fc-11da-a72b-0800200c9a66}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{d9284e50-81fc-11da-a72b-0800200c9a66} FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\shortcutff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\detgdp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2015-01-02] CHR HKLM-x32\...\Chrome\Extension: [ainbkicbloikcngphmjfpjdemblcojdd] - C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Extensions\slidebar.crx [2014-06-12] CHR HKLM-x32\...\Chrome\Extension: [jbolfgndggfhhpbnkgnpjkfhinclbigj] - C:\Program Files (x86)\Freemake\Freemake Video Converter\BrowserPlugin\Chrome\Freemake.Plugin.Chrome.crx [2013-08-13] CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2015-01-02] CHR HKLM-x32\...\Chrome\Extension: [ogfjmhfnldnajmfaofeiaepghjenbgjo] - C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Extensions\ep.crx [2014-06-12] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 HKLM-x32\...\Run: [sTCAgent] => "C:\Program Files (x86)\Splashtop\Splashtop Connect IE\STCAgent.exe" HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\...\Run: [AdobeBridge] => [X] Task: {130D1301-96A3-4D17-A528-8092523B4987} - System32\Tasks\{C00D2CFA-EE97-4361-8ADB-EB19ECB8E45E} => pcalua.exe -a "C:\Users\Dj Tedex Studio\Downloads\Firefox Setup 21.0.exe" -d "C:\Users\Dj Tedex Studio\Downloads" Task: {37EA448C-A1C0-437A-9AE5-409736CDF502} - System32\Tasks\{2C207403-6223-4676-9E36-568B578F57DA} => pcalua.exe -a D:\10\setup_farming_simulator_2013_titanium_addon_v10.exe -d D:\10 Task: {682521E1-A6D5-4AC5-A2C3-D5DA0AC81F76} - \DealPlyUpdate -> Brak pliku Task: {7CDB358D-2735-4A47-A295-545E59E4659F} - \DealPly -> Brak pliku Task: {D0366878-223E-4BDA-96FB-B4CF4977C571} - System32\Tasks\{6C03D594-89EA-4BBA-B6E4-388707CB7D70} => pcalua.exe -a E:\SilentHunter4_NSS.exe -d E:\ Task: {E40101CE-9789-4296-AA75-21E32D846FF1} - System32\Tasks\FoxTab => C:\Users\DJTEDE~1\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\FoxTab.job => C:\Users\DJTEDE~1\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Opera N Saturday.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera N Sunday.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera N.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera scheduled Autoupdate 1435572889.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Software Removal Tool logs upload retry.job => C:\Users\Dj Tedex Studio\AppData\Local\Temp\C1D6.exe S4 aswSP; Brak ImagePath S3 AndnetBus; system32\DRIVERS\lgandnetbus64.sys [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\McAfee Security Scan RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\plugins RemoveDirectory: C:\Users\Dj Tedex Studio\Desktop\FRST-OlderVersion C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Dj\servers.dat C:\Users\Dj Tedex Studio\AppData\Local\ACCCx2_4_1_351.zip.aamdownload C:\Users\Dj Tedex Studio\AppData\Local\ACCCx2_4_1_351.zip.aamdownload.aamd C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Dj Tedex Studio\AppData\Roaming\Uninstal.exe C:\Windows\system32\cwlog.dtl C:\Windows\system32\hale.exe C:\Windows\System32\sslsp105.dll C:\Windows\System32\drivers\{3c836676-f0ac-4921-b55a-03cfbf37b751}Gw64.sys C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\sslsp105.dll CMD: netsh advfirewall reset CMD: netsh winsock reset CMD: type C:\Windows\System32\Tasks\SidebarExecute File: C:\Windows\system32\winlogon.exe Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Twojanuta.pl (ten serwis to reinkarnacja Pobieraczka-naciągacza). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Opera: Odłącz synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Filter Results, High Stairs. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Yoursite 123 i utworzenie fixlisty
picasso odpowiedział(a) na KaroDu1997 temat w Dział pomocy doraźnej
Brakuje głównego nowego skanu FRST.txt. Uzupenij. -
Problemów jest o wiele więcej więcej, nie tylko przekierowania tytułowe: - Infekcja DNS, ustawione izraelskie DNS 199.203.131.145 - 82.163.143.167. - Zainfekowane moduły DLL Google Chrome, cała przeglądarka wymaga reinstalacji od zera. - Niepoprawnie odinstalowany zaśmiecony adware Firefox. Działania do przeprowadzenia: 1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Odinstaluj: - Adware: Picexa, WinZipper. - Stare wersje i zbędniki: Adobe AIR, Adobe Shockwave Player 12.1, Gadu-Gadu 10, HP Deskjet 3520 series — badanie mające na celu poprawę produktów, Java 8 Update 31 (64-bit), Java 8 Update 31, Java 8 Update 45 (64-bit), Java SE Development Kit 8 Update 45 (64-bit), Splashtop Connect IE. 3. Akcje tyczące Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Nie instaluj na razie nowej wersji Chrome, bo skrypt poniżej będzie doczyszczał elementy Google. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicyUsers\S-1-5-21-74317436-289575424-2793545732-1004\User: Ograniczenia GroupPolicyUsers\S-1-5-21-74317436-289575424-2793545732-1003\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449070826&z=3e0652d099aefd4070864dag7z9z0tee6m9e9baoab&from=ient07021&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG ShortcutWithArgument: C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449070826&z=3e0652d099aefd4070864dag7z9z0tee6m9e9baoab&from=ient07021&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG ShortcutWithArgument: C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449070826&z=3e0652d099aefd4070864dag7z9z0tee6m9e9baoab&from=ient07021&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447228033&z=3e6f03e8de92d5ddb4f2578g9z4zam4o9obbfe0m8w&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447228033&z=3e6f03e8de92d5ddb4f2578g9z4zam4o9obbfe0m8w&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447228033&z=3e6f03e8de92d5ddb4f2578g9z4zam4o9obbfe0m8w&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG&q={searchTerms} HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447228033&z=3e6f03e8de92d5ddb4f2578g9z4zam4o9obbfe0m8w&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG&q={searchTerms} URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445846513&from=zzgbkk123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445846513&from=zzgbkk123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t&q={searchTerms} SearchScopes: HKLM-x32 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = ${SEARCH_URL}{searchTerms} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1000 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445846513&from=zzgbkk123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t&q={searchTerms} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445846513&from=zzgbkk123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t&q={searchTerms} Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1450112037&z=b087b853da6a7e27a0eae5cg2z3wfeeg9g5o4e4cam&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG HKLM-x32\...\Run: [brMfcWnd] => C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN Task: {0314D8C7-59AF-4D85-9B18-E31E170E9778} - System32\Tasks\{E8580B0F-B0A8-4355-BDB2-A16B1A759468} => D:\Program Files (x86)\Counter Strike are 1.6\cstrike.exe Task: {04076DDB-F07E-4320-95EB-7F719C3517FD} - System32\Tasks\{B05C607C-7835-4B16-AFD6-937A4F5B9413} => D:\Program Files (x86)\skoki\Install.exe Task: {070532F8-641C-4A61-BC06-C8A755E4EE42} - System32\Tasks\{E972F878-8B27-4B1A-A62E-E81ECDEA597A} => pcalua.exe -a E:\paperport\InstPPSE.exe -d E:\paperport Task: {15AE09DC-7798-49EE-9B35-31AF75EE6BEF} - System32\Tasks\{9BF1FCB8-2394-4331-9410-A73D5E7F3335} => D:\dsj\DSJ.EXE Task: {16631207-1D6F-42BD-A383-4A1D332EE319} - System32\Tasks\{FC66398B-4959-42A4-BDD8-863A21EB1015} => D:\Program Files (x86)\skoki\Install.exe Task: {2A21855D-7662-444F-8E2E-8B7966C4533E} - System32\Tasks\{3AAEC18C-6E26-4914-82C7-3DF06B3EE662} => E:\autorun.exe Task: {2C18AA01-2FA3-4F68-9357-1CE3CF3512E5} - System32\Tasks\{378C477E-0F97-4A57-821C-B3B1032D75D1} => pcalua.exe -a "C:\Program Files (x86)\v9Soft\v9fft.exe" -c -uninstall -oem=fft -app=formatfactory -nation=pl Task: {3411DAB2-87CF-4C21-929A-90D864CC34C1} - System32\Tasks\{A9D1FB14-89BC-479F-B704-7488B6DF76F3} => D:\dsj\DSJ.EXE Task: {34D897AB-8B74-41A3-87FC-5356F403F66B} - System32\Tasks\{EBE08CB6-3E9D-419D-96BD-2FBD1C7442D8} => pcalua.exe -a E:\Install.exe -d E:\ Task: {3AC88106-4BD5-4FFD-A93D-CE9A189659E9} - System32\Tasks\{2FB6DA96-BD64-427A-8451-C07BD26EE6A4} => D:\dsj\DSJ.EXE Task: {3C5BA84D-7337-440C-A97A-099929E28F91} - System32\Tasks\{18A9217D-A84E-45F4-959F-99DB6FCEF21A} => pcalua.exe -a H:\Install.exe -d H:\ Task: {3CE9F55A-635C-4128-A09E-ADE4805F3D06} - System32\Tasks\{7520C830-0756-4B38-8A10-83F3DE30B28B} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{A3FEC306-FBFF-4B0D-95B9-F9C67C65079E}\Setup.exe" -c -runfromtemp -l0x0015 Brunin03.dll -removeonly Task: {3F636CB0-5D10-487D-A08C-008C0E4961A9} - System32\Tasks\{0A194A44-D101-498E-BF06-A438E8FC9020} => pcalua.exe -a C:\Users\AREK\Downloads\GameRangerSetup.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {45ED3FCE-B768-4B81-AA32-97C572FF8480} - System32\Tasks\{DC03A7FA-9E05-4B65-8DCD-1E4D22A03037} => D:\Program Files (x86)\skoki\Install.exe Task: {46106FDF-0597-430C-B9CC-238CDE4A73ED} - System32\Tasks\{B1F94D21-0530-466E-BC65-1900E288DCD9} => D:\cod\Call of Duty 4 - Modern Warfare\iw3mp.exe Task: {4A8D2CF7-4D78-41D3-B888-ECA386330065} - System32\Tasks\{868DD70B-A316-40BA-913F-576201D499A5} => pcalua.exe -a C:\Users\AREK\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cor Task: {4F16EA1F-5D86-4523-A992-EA6B3D82C2A3} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe Task: {588CF0A9-DA89-4A4F-A302-D2CB0A18FFE6} - System32\Tasks\{643B7729-871E-41D4-AF47-8D1C2290DF6D} => D:\dsj\DSJ.EXE Task: {5A2F8DC3-FC04-4E7B-86EC-BD5C19522CA8} - System32\Tasks\{F216331C-60C2-410B-8FB4-C7D4B171DC8F} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {7443653A-1E3A-42E2-BCB5-8293DAF12F59} - System32\Tasks\{AA8AF25B-DC69-4505-A909-522D7CED1898} => pcalua.exe -a C:\Users\AREK\Desktop\Setup.exe -d C:\Users\AREK\Desktop Task: {7669AB9C-962D-41EE-9B7B-1BE128D3AEB5} - System32\Tasks\{E0C22C2E-08EC-4985-8EC4-C67C4FF71289} => pcalua.exe -a "D:\Program Files (x86)\Valve\Half-Life\unins000.exe" -d "D:\Program Files (x86)\Valve\Half-Life" Task: {8DAACDE8-5BDB-4C31-B5FD-8EE7F3FFB7CB} - System32\Tasks\{CF50A3A1-4B9F-4F58-B99A-9D0CF08D2DFF} => D:\dsj\DSJ.EXE Task: {97C99D23-F6D1-403D-965A-87796DE5BCE3} - System32\Tasks\{831E4B86-D797-4273-AE97-0B374AD6B89F} => D:\Program Files (x86)\Valve\Portal 2\portal2.exe Task: {995BD2A0-3A85-4096-AA06-8BF917306822} - System32\Tasks\{0A41FD80-DDF3-418E-A442-53C384B450E5} => pcalua.exe -a E:\Software\setupstb.exe -d E:\Software Task: {A40BE4EC-676D-41E4-979B-85264CE8669E} - System32\Tasks\AdobeFlashPlayerUpdate => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe Task: {A6666230-BDE3-49D0-8DC7-C1D182C97EDB} - System32\Tasks\{EA150D06-6F0E-468B-B240-836059192BCB} => D:\Program Files (x86)\Valve\Portal 2\portal2.exe Task: {B375652B-3AD9-45D4-AC9D-534862BDDEA2} - System32\Tasks\{408F698A-A592-49FE-8912-135FA4325380} => E:\Software\setup.exe Task: {E42239ED-7781-4099-AC0D-DE8F650361FD} - System32\Tasks\{F4A005F0-7DF0-4F93-82E2-90B7863384BB} => pcalua.exe -a C:\Windows\UnGins.exe -c "C:\Program Files (x86)\HEROES3\BLADE\install.log" Task: {F11D7B96-429D-440C-9549-57E80F0B12DA} - System32\Tasks\{669BC943-BC4C-48F8-9888-2412F0532C27} => D:\dsj\DSJ.EXE Task: {F2A2DF2B-55E3-41CD-805A-C2AAE229CC0D} - System32\Tasks\StPrsSW => C:\Users\AREK\AppData\Roaming\StPrsSW\stprss.exe [2015-01-17] () Task: {F8455814-E176-41A5-AD6C-B7A267D72978} - System32\Tasks\{8E9BF6EB-1185-4817-8AD8-2DE58E55EB45} => E:\Software\setup.exe Task: {F8642D35-92FA-4605-B9BD-49D20E31C988} - System32\Tasks\{BCAB74B0-7B29-4AD3-9A09-256E087C4E2A} => D:\dsj\DSJ.EXE Task: {FA7BCFBA-3C83-4AC4-868D-1685FCF2DB50} - System32\Tasks\{BBF0ED91-78A1-475F-AD96-F86545949361} => D:\dsj\DSJ.EXE Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 FXDrv32; \??\E:\FXDrv64.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] S3 wanatw; system32\DRIVERS\wanatw64.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files (x86)\Avant Downloader RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\LighterModule RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\Picexa RemoveDirectory: C:\Program Files (x86)\RelayAppend RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\Smarmy Hall RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Program Files (x86)\TrimEdit RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\8WdM8 RemoveDirectory: C:\ProgramData\Boroowsee2save RemoveDirectory: C:\ProgramData\cWMiniProc RemoveDirectory: C:\ProgramData\DWdsManProD RemoveDirectory: C:\ProgramData\HWdMH RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\vWMiniProv RemoveDirectory: C:\ProgramData\ZWMiniProZ RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CF Toolbox RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dziel. i łącz. plików RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fizzy RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Jazz Jackrabbit 2 Secret Files RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic PL RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes III RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JoWood RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Maxis RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mega Patch PL 12 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Overgrowth RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 2 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Valve RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Xfire RemoveDirectory: C:\Users\AREK\AppData\Local\Google RemoveDirectory: C:\Users\AREK\AppData\Local\Mozilla RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{014E8158-FCF4-4EE7-8676-CBC6B2813164} RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{18AF24C3-3DDE-431F-B9FA-EC1D6EDD519D} RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{2B10285A-3281-4C77-9BA7-3827769C2007} RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{30A84EA5-D509-47DF-BFB7-D92AC970A971} RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{C9556353-6423-4AD8-8562-FB0DB1065CC4} RemoveDirectory: C:\Users\AREK\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\AREK\AppData\Roaming\mystartsearch RemoveDirectory: C:\Users\AREK\AppData\Roaming\Picexa Viewer RemoveDirectory: C:\Users\AREK\AppData\Roaming\StPrsSW RemoveDirectory: C:\Users\AREK\AppData\Roaming\TSv RemoveDirectory: C:\Users\AREK\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Fraps RemoveDirectory: C:\Users\Zbigniew\AppData\Local\Microsoft\Windows\GameExplorer\{638C49F0-FAC0-47A2-BD4F-34906132279E} RemoveDirectory: C:\Users\Zbigniew\AppData\Local\Microsoft\Windows\GameExplorer\{2EE4D339-220B-491C-94BC-5BEA9CA43D5C} C:\Program Files (x86)\prefs.js C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Walking Dead.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\Users\AREK\AppData\Local\{*} C:\Users\AREK\AppData\Local\Temp.dat C:\Users\AREK\AppData\LocalLow\wbk438D.tmp C:\Users\AREK\AppData\Roaming\appdataFr25.bin C:\Users\AREK\AppData\Roaming\appdataFr3.bin C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer V4.7.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer V5.0.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Xfire.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Games.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\AREK\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\AREK\Gry\Magicka.lnk C:\Users\AREK\Gry\Portal 2.lnk C:\Users\AREK\Gry\The Sims 2.lnk C:\Users\AREK\Gry\muzyka\save\ChomikBox.lnk C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ChomikBox.lnk C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Xfire.lnk C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Games.lnk C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome*.lnk C:\Users\Paulina\Documents\My Shared Folder\Angry Birds Space.lnk C:\Users\Paulina\Documents\My Shared Folder\CF Toolbox.lnk C:\Users\Paulina\Documents\My Shared Folder\Gothic PL.lnk C:\Users\Paulina\Documents\My Shared Folder\Team Fortress Classic.lnk C:\Users\Paulina\Documents\My Shared Folder\The Sims 2.lnk C:\Users\Paulina\Documents\My Shared Folder\Uruchom grę Mafia.lnk C:\Users\Public\Desktop\Adobe Reader X.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Public\Desktop\Picexa.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Xfire.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Games.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: type C:\Windows\System32\Tasks\SidebarExecute EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.
-
windivert64.sys oraz usługi w katalogu shell&services
picasso odpowiedział(a) na bestfil temat w Dział pomocy doraźnej
Plik Fixlog.txt zawiera cały Fixlist.txt w oryginalny formatowaniu - ma to na celu być niezbitym dowodem jaki skrypt zastosował użytkownik i czy się różni od tego podanego przez kogoś (np. ktoś mógł edytować post, a user już wykonał pierwotną wersję). Tak więc to na pewno był taki skrypt z błędami użyty. To kopie zapasowe usuniętych przez HijackThis wpisów, nieprzydatne tu. Ogólnie to jest wiadome na podstawie Fixlist jakie były składowe tego malware, malware było też widoczne na liście zainstalowanych programów (należało więc zacząć od jego poprawnej deinstalacji). I jak mówię, sądzę że było więcej, tzn. jeszcze zadanie w Harmonogramie - tu wspomina użytkownik o czymś pod nazwą "NetworkAnalyserService". Niestety brak raportów FRST sprzed formatu. -
windivert64.sys oraz usługi w katalogu shell&services
picasso odpowiedział(a) na bestfil temat w Dział pomocy doraźnej
Sterownik tytułowy to legalne oprogramowanie WinDivert (Windows Packet Divert). Mogą się nim posługiwać rozmaite instalacje, poprawne oraz adware/malware (w Twoim przypadku Shell&ServicesEngine 3.0.3), więc sterownik nie będzie klasyfikowany jako szkodliwy. Nie ma logów FRST sprzed formatu, przypuszczalne tam był jeszcze jeden element w Harmonogramie zadań wcale nie połączony nazewniczo z resztą obiektów, reinstalujący śmiecia / odnawiający modyfikację, którego prawdopodobnie nie zauważyłeś. I po formacie nie ma czego szukać w raportach. To nie jest wirus, który się przenosi. PS. A co to tego Fixlist, to głupoty tam wstawiłeś. Wejścia deinstalacyjne (w Twoim przypadku Shell&ServicesEngine 3.0.3) oraz błędy z Dziennika zdarzeń są nieprzetwarzalne w skryptach, a to były poprawne komponenty aplikacji Skype Messaging: C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\SkypeHost.exe 2015-11-30 19:04 - 2015-11-30 19:05 - 00144384 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\SkypeHost.exe 2015-11-30 19:04 - 2015-11-30 19:05 - 00152064 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\SkypeBackgroundTasks.dll 2015-11-30 19:04 - 2015-11-30 19:05 - 18906624 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\SkyWrap.dll 2015-11-30 19:04 - 2015-11-30 19:04 - 02907648 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\MessagingNativeCore.dll 2015-11-30 19:04 - 2015-11-30 19:04 - 00583168 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\MessagingEntityExtractionProxy.dll 2015-11-30 19:04 - 2015-11-30 19:04 - 01302528 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\MessagingNativeBase.dll I zapomnij o HijackThis - to jest od lat nieaktualizowany niesprawny 32-bitowy program kompletnie niezgodny z systemem 64-bitowym. Nie widzi natywnie 64-bitowej części i pokazuje głupoty (fałszywe "file is missing"), "naprawa" tych wpisów może uszkodzić system. Odinstaluj też Spybot - Search & Destroy, program przestarzały konstrukcyjnie i mało na czasie, MBAM jest o wiele lepszy w tej materii. -
1. Nadal widzę w Google Chrome tę niepożądaną stronę startową oraz adware w Opera. Czy na pewno poniższe działania zostały wykonane? Wykonaj te akcje. Dopiero gdy je przeprowadzisz: 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.
-
Wszystko zrobione. Drobne poprawki, nie zauważyłam, że Bonjour jest odinstalowany, a nadal siedzi w systemie jego wpis w łańcuchu sieciowym. Otwórz Notatnik i wklej w nim: Winsock: Catalog5 06 C:\Program Files\Bonjour\mdnsNSP.dll [94208 2006-02-28] (Apple Computer, Inc.) Toolbar: HKU\S-1-5-21-1690032049-1338340778-4026156367-1006 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Bonjour CMD: netsh advfirewall reset Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.
-
Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.
-
Kończymy: 1. Uruchom AdwCleaner ponownie, tym razem wybierz opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.
-
Yoursite 123 i utworzenie fixlisty
picasso odpowiedział(a) na KaroDu1997 temat w Dział pomocy doraźnej
Proszę nie tworzyć podwójnych tematów, bo to nic nie przyśpieszy, pomagający się nie rozdwoi. To spam, za to można dostać bana na forum. Duplikat usunięty. System był już czyszczony AdwCleaner, ale zostały odpadki adware (w tym aktywna usługa przywracająca modyfikację). Akcje do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player 19 NPAPI, Adobe Reader XI - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\6WdM6\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450112493&z=2677ff89147de80d7885a90gczaw5e0g7g4ofz2tco&from=wpm07173&uid=WDCXWD2502ABYS-02B7A0_WD-WCAT1F21497114971&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450112493&z=2677ff89147de80d7885a90gczaw5e0g7g4ofz2tco&from=wpm07173&uid=WDCXWD2502ABYS-02B7A0_WD-WCAT1F21497114971&q={searchTerms} FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox-branding.js [2009-12-02] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox-l10n.js [2009-12-02] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox.js [2009-12-02] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\reporter.js [2009-12-02] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\4WdM4 RemoveDirectory: C:\ProgramData\gWdMg RemoveDirectory: C:\ProgramData\ZWdMZ RemoveDirectory: C:\ProgramData\6WdM6 RemoveDirectory: C:\ProgramData\OWdMO RemoveDirectory: C:\ProgramData\HWdMH C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Lola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. -
Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj staroć Adobe AIR. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\tomicher\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\iWdMi\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [File not signed] ShortcutWithArgument: C:\Users\tomicher\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C ShortcutWithArgument: C:\Users\tomicher\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C ShortcutWithArgument: C:\Users\tomicher\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C ShortcutWithArgument: C:\Users\tomicher\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms} HKU\S-1-5-21-4200013936-444429621-2781623297-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4200013936-444429621-2781623297-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C HKU\S-1-5-21-4200013936-444429621-2781623297-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4200013936-444429621-2781623297-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4200013936-444429621-2781623297-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms} SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms} SearchScopes: HKU\S-1-5-21-4200013936-444429621-2781623297-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms} SearchScopes: HKU\S-1-5-21-4200013936-444429621-2781623297-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms} SearchScopes: HKU\S-1-5-21-4200013936-444429621-2781623297-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\tomicher\AppData\Roaming\Mozilla\Firefox\Profiles\mc66johb.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\tomicher\AppData\Roaming\Mozilla\Firefox\Profiles\mc66johb.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C HKU\S-1-5-21-4200013936-444429621-2781623297-1000\...\Run: [AdobeBridge] => [X] Task: {A62E85D1-C694-4B85-BE5C-661C6B6B8AAC} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {F6517F2F-4C90-41C3-BFE4-8F4B27BABBA4} - System32\Tasks\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4} => C:\Users\tomicher\AppData\Local\Temp\is-RBU16.tmp\XRD Manager.exe Task: C:\Windows\Tasks\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4}.job => C:\Users\tomicher\AppData\Local\Temp\is-RBU16.tmp\XRD Manager.exeȈ/exenoupdates /exelang 0 /noprereqs /qr AI_RESUME=1 ADDLOCAL=MainFeature,XRDdrivers64 ACTION=INSTALL EXECUTEACTION=INSTALL ROOTDRIVE B:\ AI_PREREQFILES=C:\Users\tomicher\AppData\Local\Temp\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4}\drivers64.msi AI_PREREQDIRS=C:\Users\tomicher\AppData\Local\Temp AI_SETUPEXEPATH=C:\Users\tomicher\AppData\Local\Temp\is-RBU16.tmp\XRD Manager.exe SETUPEXEDIR=C:\Users\tomicher\AppData\Local\Temp\is-RBU16.tmp AlternateDataStreams: C:\Users\tomicher\Local Settings:zhhH3GwtGql4nb023w AlternateDataStreams: C:\Users\tomicher\AppData\Local:zhhH3GwtGql4nb023w AlternateDataStreams: C:\Users\tomicher\AppData\Local\Application Data:zhhH3GwtGql4nb023w AlternateDataStreams: C:\Users\tomicher\AppData\Local\Temporary Internet Files:ZwIF55s4FoSaLBgyRBV62vD0 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\iWdMi RemoveDirectory: C:\ProgramData\XWMiniProX RemoveDirectory: C:\Users\tomicher\AppData\Local\Lenovo RemoveDirectory: C:\Users\tomicher\AppData\Roaming\eCyber RemoveDirectory: C:\Users\tomicher\AppData\Roaming\TSv RemoveDirectory: C:\Users\tomicher\Desktop\FRST-OlderVersion RemoveDirectory: C:\Windows\System32\Tasks\Lenovo C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\T23J7 C:\ProgramData\V93GE C:\Users\tomicher\Desktop\SpyHunter-installer.exe C:\Windows\SysWOW64\pl.html Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.
-
Kończymy: 1. Przez SHIFT+DEL (omija Kosz) usuń z Pulpitu folder Stare dane programu Firefox. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania artykuł poglądowy czego unikać, by ograniczyć podobne nieszczęścia w przyszłości: KLIK.
-
Kończymy: 1. Przez SHIFT+DEL (omija Kosz) usuń FRST i jego logi z folderu Y:\Nowy folder. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Czego unikać, by ograniczyć podobne nieszczęścia w przyszłości: KLIK.
-
Wszystko zrobione. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.
-
Wyskakujące reklamy w nowym oknie przeglądarki
picasso odpowiedział(a) na kagar1989 temat w Dział pomocy doraźnej
Wszystko zrobione, za wyjątkiem punktu dwa (nadal widać te rozszerzenia w obu przeglądarkach). Jak mówiłam, sugeruję deinstalację, rozszerzenia niezaufane. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. -
Uruchom ponownie AdwCleaner, tym razem wybierz opcje Skanuj + Usuń i przedstaw wynikowy log z usuwania.
-
yoursietes123 jak się go pozbyć?
picasso odpowiedział(a) na Anielica25 temat w Dział pomocy doraźnej
Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Materiał do czytania na co uważać, by ograniczyć podobne nieszczęścia: KLIK. -
Porywacz przeglądarki - yoursites123.com
picasso odpowiedział(a) na Posss temat w Dział pomocy doraźnej
Posty dla porządku połączyłam, oczywiście odpowiadasz mi już w nowym poście. Jest tu więcej adware, czyli przejęcie domyślnych matrycy Firefoxa oraz fałszywe gry (StormFall, WorldofTanks). Posługiwałeś się archaicznym programem "Ad-Remover" - program nieaktualizowany od kilku lat i porzucony, jego następcą jest AdwCleaner. Operacje do przeprowadzenia: 1. Odinstaluj: - Adware: StormFall, WinZipper, WorldofTanks. - Stare wersje i zbędniki: Adobe Flash Player 10 ActiveX, Adobe Flash Player 13 Plugin, Adobe Reader XI - Polish, Ad-Remover par C_XX, Akamai NetSession Interface, Hotspot Shield 3.42 (wersja darmowa zawiera adware, reputacja ogólna słaba), HP Customer Participation Program 13.0, Java 8 Update 60 (64-bit), Java 8 Update 60, Opera Stable 18.0.1284.68, Pando Media Booster, Secure Download Manager, Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\K.K\Desktop\Osoba 1 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 ShortcutWithArgument: C:\Users\K.K\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 ShortcutWithArgument: C:\Users\K.K\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 ShortcutWithArgument: C:\Users\K.K\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 ShortcutWithArgument: C:\Users\K.K\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 ShortcutWithArgument: C:\Users\K.K\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 ShortcutWithArgument: C:\Users\K.K\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 ShortcutWithArgument: C:\Users\K.K\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://fr.msn.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3868924982-3431921725-295582353-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://fr.msn.com/ HKU\S-1-5-21-3868924982-3431921725-295582353-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKU\S-1-5-21-3868924982-3431921725-295582353-1000\Software\Microsoft\Internet Explorer\Main,Default_search_url = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7&q={searchTerms} SearchScopes: HKU\S-1-5-21-3868924982-3431921725-295582353-1000 -> ${searchCLSID} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} SearchScopes: HKU\S-1-5-21-3868924982-3431921725-295582353-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7&q={searchTerms} Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll Brak pliku FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\K.K\AppData\Roaming\Mozilla\Firefox\Profiles\mst0lead.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\K.K\AppData\Roaming\Mozilla\Firefox\Profiles\mst0lead.default\extensions\yahooprotected@gmail.com FF HKU\S-1-5-21-3868924982-3431921725-295582353-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\!341B4DA552FC349BC0E45BCE21DB54EA341B.js [2015-10-28] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\341B4DA552FC349BC0E45BCE21DB54EA341B [2015-10-28] CHR StartupUrls: Profile 1 -> "hxxp://www.google.pl/","hxxp://www.meteoprog.pl/pl/weather/Lubin/","hxxp://www.yoursites123.com/?type=hp&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7" CHR DefaultSearchURL: Profile 1 -> hxxp://www.yoursites123.com/web/?type=ds&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7&q={searchTerms} CHR DefaultSearchKeyword: Profile 1 -> yoursites123 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450108654&z=b5fb1acfbecafc7de1a5e2fgfz1wce1g2e6baq2wec&from=wpm07173&uid=ST1000DM003-1CH162_S1D8K4B7XXXXS1D8K4B7 StartMenuInternet: (HKLM) OperaStable - Opera.exe R2 IhPul; C:\Users\K.K\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\HWdMH\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S2 ASGT; C:\Windows\SysWOW64\ASGT.exe [X] S2 c2cautoupdatesvc; "C:\Program Files (x86)\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe" /service [X] S2 c2cpnrsvc; "C:\Program Files (x86)\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe" /service [X] S3 cleanhlp; \??\C:\Users\K.K\Downloads\EmsisoftEmergencyKit\Run\cleanhlp64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-3868924982-3431921725-295582353-1000\...\Run: [Akamai NetSession Interface] => C:\Users\K.K\AppData\Local\Akamai\netsession_win.exe [4691384 2015-09-10] (Akamai Technologies, Inc.) Task: {580287CD-FC20-4505-8CF4-980A2A46610A} - System32\Tasks\{5B1B5732-C3CA-48AF-962D-217DB6B5C5F5} => pcalua.exe -a "E:\Gry\Online\MU\ZhyperMU Season 6 Episode 3\Uninstall.exe" -d "E:\Gry\Online\MU\ZhyperMU Season 6 Episode 3" Task: {6AB952E9-004C-4F6A-A55D-460CB9EE2AE3} - System32\Tasks\{2752E7D2-F786-432D-9AE5-F345122DBE82} => pcalua.exe -a C:\Users\K.K\Downloads\Defraggler(13314).exe -d C:\Users\K.K\Downloads Task: {A97C6E31-7846-4154-B8BA-6E85A96159E1} - System32\Tasks\{F77D2B3E-2B5A-4488-96F8-A207F184BF9F} => pcalua.exe -a C:\Users\K.K\Downloads\WinSetupFromUSB-1-4_[www.programosy.pl].exe -d C:\Users\K.K\Downloads Task: {D38A9C2F-91E1-4492-B692-7F219DDEC60F} - System32\Tasks\{7CAA966A-1107-4306-A84D-DE96169C4017} => pcalua.exe -a C:\Users\K.K\Downloads\vcredist_x64.exe -d C:\Users\K.K\Downloads HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\HWdMH RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\ProgramData\ZWMiniProZ RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\Users\K.K\AppData\Roaming\TSv RemoveDirectory: C:\Users\K.K\AppData\Roaming\WinZipper RemoveDirectory: C:\Users\K.K\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StormFall RemoveDirectory: C:\Users\K.K\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Program Files (x86)\GUTF660.tmp C:\ProgramData\*.bin C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TP-LINK\TP-LINK Wireless Configuration Utility.lnk C:\Users\K.K\AppData\Roaming\amV0WmQAtpkvd7j8GJSqaxH3EOZ C:\Users\K.K\AppData\Roaming\xHMF2bpf2C3tbii6zV9HPGxV C:\Users\K.K\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\StormFall.lnk C:\Users\K.K\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\K.K\AppData\Roaming\Microsoft\Word\Rodion%20Romanowicz%20Raskolnikow303774011118245595\Rodion%20Romanowicz%20Raskolnikow.docx.lnk C:\Users\K.K\Documents\Sport\Dziennik Posilkow MR BIG v4.60.LNK C:\Users\Public\Desktop\TP-LINK Wireless Configuration Utility.lnk C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy yoursites123 (o ile nadal będzie widoczny). 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. -
Akcje do wdrożenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i zbędniki Adobe Flash Player 19 NPAPI, Adobe Flash Player 19 PPAPI, Adobe Shockwave Player 12.0, Akamai NetSession Interface, Java 8 Update 60 oraz adware WinZipper. Poza tym, czy program ScreenShooter5 to była celowa chciana instalacja? Pytam, gdyż w tym samym czasie co jego instalacja powstawały też obiekty adware, a konkretnie fałszywy WarThunder udający grę o tej samej nazwie. Następnie uruchom Zoek i w oknie wklej: Metric Collection SDK;u Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Script. Powstanie plik zoek-results.log. W eksploratorze Windows menu Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > odznacz Ukryj rozszerzenia znanych plików > zmień nazwę pliku na zoek-results.txt, by dało się go wstawić jako załącznik forum. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Dominika\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\BWdMB\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-14] () R1 wfdrvr_vw_1_10_0_28; C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_28.sys [57712 2015-10-30] (WF) U3 aspnet_state; Brak ImagePath GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX ShortcutWithArgument: C:\Users\Dominika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX ShortcutWithArgument: C:\Users\Dominika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX ShortcutWithArgument: C:\Users\Dominika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX&q={searchTerms} HKU\S-1-5-21-311275851-3967228346-481105067-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX HKU\S-1-5-21-311275851-3967228346-481105067-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX&q={searchTerms} SearchScopes: HKU\S-1-5-21-311275851-3967228346-481105067-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX&q={searchTerms} SearchScopes: HKU\S-1-5-21-311275851-3967228346-481105067-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX&q={searchTerms} BHO: Brak nazwy -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Brak pliku BHO-x32: Discovery App -> {ba32987d-db80-4ccb-a8bb-f812b5421c0f} -> C:\Program Files (x86)\Discovery App\Extensions\ba32987d-db80-4ccb-a8bb-f812b5421c0f.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1448904131&z=caa1fd377279ae24ff654cfg4zcz2b3t1e4z1geo7b&from=cornl&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX Edge HomeButtonPage: HKU\S-1-5-21-311275851-3967228346-481105067-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.yoursites123.com/?type=hp&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX" StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450107355&z=8ddcc4dd1a6ffdea73726c7gcz2w1e9g2e0m8c2wfo&from=wpm07173&uid=HGSTXHTS545050A7E680_RB250F1C00YUWK00YUWKX Task: {091E7DB0-6873-45F2-B708-07AA43B59698} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {0C7C3098-BB06-4D80-815A-0DCCB0D9A6D3} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {0E4008DD-DFC0-445D-BFD6-95BED19E6361} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {13592E61-39CB-44FE-AF1E-936074AB30A3} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe Task: {313D44B9-3859-4BCB-BBD1-207881C84523} - System32\Tasks\{C17EA928-C302-4A78-80B1-48DEA0868AF8} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.13.0.101&LastError=12002 Task: {3CBB5F8F-A27F-4184-B008-EADA6D1AD019} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {50DFE3E1-95FB-40C6-853B-56D9D4C873C7} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {7B231D4C-EAC6-45A7-85AC-9B58A3159017} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {825C4188-0751-43D8-860C-7DC7AB004B24} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {89C6F224-B13F-47CE-A7CB-C527F3AF7E33} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe Task: {8A9C5CA7-464F-4CA0-919D-080613E1A409} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {8DC2DC60-6C1F-4EAA-9D2D-C6197C2F1588} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {E3798A21-B908-4ED5-9598-9BEEA36751B8} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {EE2EE4AB-E57D-470D-86F8-AC746681FAEB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {EFD27718-48E3-40B6-9F39-FB01BF1C7AA9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Steam /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "BlueStacks Agent" /f RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\Program Files (x86)\WordFly_1.10.0.28 RemoveDirectory: C:\ProgramData\BWdMB RemoveDirectory: C:\ProgramData\BWMiniProB RemoveDirectory: C:\ProgramData\nWdMn RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\Users\Dominika\AppData\Local\Lenovo RemoveDirectory: C:\Users\Dominika\AppData\Roaming\TSv RemoveDirectory: C:\Users\Dominika\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\Dominika\AppData\Roaming\WinZipper RemoveDirectory: C:\Users\Dominika\AppData\Roaming\yoursearching RemoveDirectory: C:\Users\Dominika\REACHit RemoveDirectory: C:\Windows\System32\Tasks\Lenovo C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Dominika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\System32\Drivers\wfdrvr_vw_1_10_0_28.sys C:\Windows\SysWOW64\data.bin C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware Discovery App 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt + zoek-results.txt. Powierdź, że problem ustąpił także w przeglądarce Edge.
-
Działania do przeprowadzenia: 1. Odinstaluj: - Adware/PUP: Findwide Toolbar, istartsurf uninstall, Lollipop, SupTab, VideoDownloadConverter Internet Explorer Toolbar. - Zbędniki: AVG Web TuneUp, STOPzilla AntiVirus 7. A StopZilla to skaner wątpliwej reputacji. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Enoszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 ShortcutWithArgument: C:\Users\Enoszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 ShortcutWithArgument: C:\Users\Enoszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 ShortcutWithArgument: C:\Users\Enoszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 ShortcutWithArgument: C:\Users\Enoszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} HKU\S-1-5-21-2451096611-3267693537-2452564422-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&ts=1393412115&type=default&q={searchTerms} HKU\S-1-5-21-2451096611-3267693537-2452564422-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 HKU\S-1-5-21-2451096611-3267693537-2452564422-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 HKU\S-1-5-21-2451096611-3267693537-2452564422-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&ts=1393412115&type=default&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} SearchScopes: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} SearchScopes: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018&q={searchTerms} SearchScopes: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={5CC79DA6-A049-4B86-B4DF-727A7680429B}&mid=36c21e0f80c547d2acf1f15340c342aa-e8389853a5434d068050019316fa500eac390201&lang=pl&ds=AVG&coid=avgtbavg&cmpid=1015tb&pr=fr&d=2014-11-06 06:17:03&v=4.2.1.951&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> {CE96B6D1-4EFD-49D9-923E-29E5DCF1FA83} URL = hxxp://search.findwide.com/serp?guid={45FA0583-43C6-49B7-817D-7C14EAE57F67}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> {EA6E9918-88A6-4CA4-9415-CD37008B69CF} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11147 SearchScopes: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.sweet-page.com/?type=sc&ts=1393168821&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 CustomCLSID: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000_Classes\CLSID\{7DF5D666-B938-4BD3-8B73-5E0DEBDC744D}\InprocServer32 -> C:\Program Files (x86)\TNT2\Profiles\11147\passport64.dll (Freshy.com) FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\40.2.3\\npsitesafety.dll [brak pliku] FF Plugin-x32: @VideoDownloadConverter_4z.com/Plugin -> C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll [brak pliku] FF Plugin-x32: @VideoDownloadConverter_ScriptHelper.com/Plugin -> C:\Program Files (x86)\VideoDownloadConverter\npVDCPlugin.dll [2013-08-26] (Mindspark) FF Plugin HKU\S-1-5-21-2451096611-3267693537-2452564422-1000: @tnt2npapi.com/Plugin -> C:\Users\Enoszka\AppData\Local\TNT2\2.0.0.1923\npTNT2.dll [2015-01-13] (Freshy.com) FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Enoszka\AppData\Roaming\Mozilla\Firefox\Profiles\v6fnz20q.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Enoszka\AppData\Roaming\Mozilla\Firefox\Profiles\v6fnz20q.default\extensions\deskCutv2@gmail.com FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Enoszka\AppData\Roaming\Mozilla\Firefox\Profiles\v6fnz20q.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Enoszka\AppData\Roaming\Mozilla\Firefox\Profiles\v6fnz20q.default\extensions\yahooprotected@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449645130&z=ef7773ddd7c932adf4ac290gaz3zft5qfzfw9gboeb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD923018 ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku Task: {173502A1-6F86-4EE4-89A5-AC7DC41828DA} - System32\Tasks\{F3BD1F4A-C9AB-4875-8562-60C9A38855B7} => pcalua.exe -a E:\programy\setup.exe -d E:\programy Task: {4722CF8A-CBB0-4261-99FB-F7F7337CAC82} - System32\Tasks\{910B1E20-64EF-4F3F-84C2-1906EBA37974} => pcalua.exe -a "E:\programy\stero druk\epson375127eu.exe" -d "E:\programy\stero druk" Task: {5FEDE2E3-8DA2-44BC-930A-9D725CA817A8} - System32\Tasks\{685968D5-C616-48AF-8C8F-5489EE55CF0B} => pcalua.exe -a C:\Users\Enoszka\AppData\Roaming\sweet-page\UninstallManager.exe Task: {E9ED5E3D-F30A-4859-9FF5-08D2F7C6F892} - System32\Tasks\{07DBBA80-20C4-42DF-8450-37D0126C9C47} => pcalua.exe -a "E:\programy\stero druk\epson375129eu (1).exe" -d "E:\programy\stero druk" S3 clwvd6; system32\DRIVERS\clwvd6.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SBAMSvc => ""="Service" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\SupTab RemoveDirectory: C:\Program Files (x86)\TNT2 RemoveDirectory: C:\Program Files (x86)\VideoDownloadConverter_4z RemoveDirectory: C:\ProgramData\7WdM7 RemoveDirectory: C:\ProgramData\BWMiniProB RemoveDirectory: C:\ProgramData\tWdMt RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Enoszka\AppData\Local\TNT2 RemoveDirectory: C:\Users\Enoszka\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} RemoveDirectory: C:\Users\Enoszka\AppData\Roaming\TSv C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.