picasso

Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Poczytaj na co uważać, by uniknąć podobnych problemów: KLIK.

solmyr, tak się tu nie załatwia spraw. Wszystko musi być potwierdzone, bo coś mogło się nie usunąć w skrypcie lub wystąpiły nowe okoliczności. A poza tym są także do wykonania specjalne kroki końcowe. Wyraźnie prosiłam o:

Wszystko zrobione. Kończymy: 1. Mini fix. Otwórz Notatnik i wklej w nim: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Registration .LNK" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Power2GoExpress8 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "mobilegeni daemon" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Poczytaj czego unikać: KLIK.

Drobne poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > Prywatność > Wyczyść dane przeglądania > wybierz "Od samego początku" i zaznacz wszystkie pozycje z wyjątkiem haseł > Wyczyść dane przeglądania. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\SweetLabs App Platform DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sun DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sat DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder24 DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4E8B1900-34DE-E742-E6A7-606519AC19B7} DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Akcja: 1. Klawisz z flagą Windows + X > Programy i funkcje > Odinstaluj: Adobe AIR, Adobe Reader 8.1.0, Foxtab (adware), Pando Media Booster. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 ShortcutWithArgument: C:\Users\Ewa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 ShortcutWithArgument: C:\Users\Ewa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 ShortcutWithArgument: C:\Users\Ewa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2327504602-676731766-3640145769-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} HKU\S-1-5-21-2327504602-676731766-3640145769-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} SearchScopes: HKU\S-1-5-21-2327504602-676731766-3640145769-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\k5voscb5.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\k5voscb5.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 R2 WdMan; C:\ProgramData\aWdMa\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-13] () S1 {5eeb83d0-96ea-4249-942c-beead6847053}Gw64; system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys [X] S1 {a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64; system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys [X] S1 {a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gw64; system32\drivers\{a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gw64.sys [X] S2 Update Solution Real; "C:\Program Files (x86)\Solution Real\updateSolutionReal.exe" [X] S2 Util Solution Real; "C:\Program Files (x86)\Solution Real\bin\utilSolutionReal.exe" [X] HKU\S-1-5-21-2327504602-676731766-3640145769-1002\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\chomikbox.exe Task: {ECBAC623-128D-4A22-9F2C-AEEC22DED856} - System32\Tasks\{0498070D-BAFC-4810-A897-941CA9DF4329} => pcalua.exe -a E:\setup.exe -d E:\ Task: {EDE3F314-82DA-4369-B7FD-FDB2816AB2C8} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2012-08-08] (Lenovo) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f RemoveDirectory: C:\Program Files\Enigma Software Group RemoveDirectory: C:\ProgramData\aWdMa RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sammy Suricate RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Picexa Viewer C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Ewa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Ewa\Hopmon.lnk C:\Users\Jerzy\Desktop\Sammy Suricate.lnk C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\System32\Drivers\EsgScanner.sys C:\WINDOWS\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Pus trzeba będzie potem przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko pomyślnie zrobione, ale jeszcze poprawki: 1. W Google Chrome: - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres yoursites123.com, przestaw na "Otwórz stronę nowej karty". - Ustawienia > karta Rozszerzenia > odinstaluj Ad.Block Plus. To podejrzane rozszerzenie, usunięte z Chrome Web Store (jakaś przyczyna musi być). 2. Ace Stream Media odinstalował się na pół gwizdka, pozostawiając po sobie AceWebExtension. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1525185845-3506830205-1325651090-1002\...\Run: [AceWebException] => C:\Users\Artur\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe [22824 2015-02-28] () S2 PicexaService; C:\Program Files (x86)\Picexa\PicexaSvc.exe [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Picexa Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AceUpdater /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AceWebException /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Artur\AppData\Roaming\.ACEStream RemoveDirectory: C:\Users\Artur\AppData\Roaming\ACEStream RemoveDirectory: C:\Users\Artur\AppData\Roaming\AceWebExtension RemoveDirectory: C:\Users\Artur\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Nie dostarczyłeś pliku fixlog.txt. A te wyniki z AVG to nie są trojany: - Kilka ciasteczek śledzących. Wystarczy odwiedzić kilka stron / portali sponsorowanych reklamami i już mamy zestaw na dysku. - Uszkodzony instalator SkypeSetup.exe w Temp. Zadana została komenda EmptyTemp: w skrypcie FRST. - Autoryzacje w Zaporze systemowej od gry Need for Speed™ Rivals. To samo widoczne jest w FRST Addition: FirewallRules: [{896A60AA-CD24-4873-874F-8A8697D3C0B8}] => (Allow) C:\Program Files\Need for Speed Rivals\NFS14.exe FirewallRules: [{2A28967D-19CF-4BB1-B7BA-F4E2C51BA356}] => (Allow) C:\Program Files\Need for Speed Rivals\NFS14.exe FirewallRules: [{5691C7A5-FA57-48C9-8AD3-CF0459992AFF}] => (Allow) C:\Program Files\Need for Speed Rivals\NFS14_x86.exe FirewallRules: [{917068C4-575B-4F0E-9E58-5015B3E3190C}] => (Allow) C:\Program Files\Need for Speed Rivals\NFS14_x86.exe FirewallRules: [TCP Query User{E9E6CD04-68CA-4379-B9EB-52DDCDCF4C6C}C:\program files\need for speed rivals\nfs14.exe] => (Allow) C:\program files\need for speed rivals\nfs14.exe FirewallRules: [uDP Query User{1063A32F-E2F2-465F-B7F1-3CC5FD3F8D8B}C:\program files\need for speed rivals\nfs14.exe] => (Allow) C:\program files\need for speed rivals\nfs14.exe

1. Zacznij od poprawnej deinstalacji przez Dodaj/Usuń adware wykrytych w MBAM: Bonanza Deals, Foxtab. Od razu usuń też stary sfatygowany zestaw Mozilla Firefox 26.0 (x86 en-US) + Mozilla Maintenance Service. Jeśli Firefox ma tu wrócić, a obecnie jest w nim coś cennego, posłuż się MozBackup, by skopiować zakładki + hasła (i nic więcej!). 2. Po w/w akcji zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut.

Wszystkie zadania wyglądają na wykonane. Temat rozwiązany. Zamykam.

Procedura sprawdzania stanu transferu dysku po skanie GMER może być przeprowadzona w dowolnym momencie. Ale jakoś wątpię, by tu był problem tego typu, gdyż jest Windows 7, a opisywany stan to "trochę dłużej". Przy zdegradowabym transferze nie chodzi o "trochę", start wydłuża się o wiele minut (np. 5). Jeśli teraz notujesz wydłużenie startu, to prędzej podejrzane świeże instalacje programów zabezpieczających, tzn. Anvi Smart Defender, który jest skombinowany z Microsoft Security Essentials. Wszystko zrobione. Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj folder deinstalatora Microsoftu C:\MATS + z Pobranych folder backups utworzony przez HijackThis. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Rodzicom podsunąć ten mateiał prewencyjny do czytania: KLIK.

Jest tu Avast i nie widzę powodu do zmiany. To z czym mamy tu do czynienia to nie są wirusy, tylko instalacje typu adware/PUP. Antywirusy nie zawsze zatrzymają takie instalacje. Programy mające większą orientację na przeciwdziałanie takim instalacjom to: - Komercyjna wersja Malwarebytes Anti-Malware z rezydentem. - Darmowy program Unchecky służący automatycznemu omijania min w instalatorach, ale program nie pomoże, jeśli dany downloader w ogóle nie ma opcji wykluczenia sponsora, nie zastąpi też myślenia. AdwCleaner wyczyścił co należy, ale będzie jeszcze trochę operacji doczyszczania. Na teraz spróbuj ożywić konto Rodzice (nazwa wyświetlana, nazwa rzeczywista to "user"). Jeśli się nie uda, i tak trzeba będzie je usunąć i założyć nowe, bo obecnie jest kontem "tymczasowym" bez dostępu do poprzednich danych. Próba przekierowania konta: 1. Na obecnym koncie Ja uruchom Reprofiler. Rozłącz konto user z folderem C:\Users\TEMP (opcja Detach), następnie połącz konto z poprzednim folderem C:\Users\user. 2. Zresetuj komputer. Zaloguj się na konto user. Zrób nowy log FRST z opcji Skanuj (Scan) z Addition, ale Shortcut już zbędny.

Na koniec poczytaj o tym skąd się biorą takie śmieci: KLIK. Temat rozwiązany. Zamykam.

Zasady działu: KLIK. Zakaz podpinania się pod cudze tematy. Post wydzielony w osobny temat. Nie przeczytane także wytyczne jak konfigurować raporty FRST tu na forum: KLIK. Zaznaczone zbędne opcje Lista BCD, MD5 sterowników i Pliki z 90 dni. Kupa zbędnych danych i za duże logi, których analiza jest niewdzięczna. Na temat tego skąd się biorą takie śmieci: KLIK. W raportach widać, że latałeś po określonych portalach i ściągałeś ich "downloadery", a nie poprawne instalacje... I jest tu więcej adware, nie tylko problem tytułowy, oraz wątpliwy skaner-naciągacz SpyHunter. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj SpyHunter. Następnie uruchom Zoek i w oknie wklej: Metric Collection SDK;u Metric Collection SDK 35;u Klik w Run Script. Powstanie log zoek-results.log. W eksploratorze Windows menu Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > odznacz Ukryj rozszerzenia znanych plików. Po tym zmień nazwę pliku na zoek-results.txt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Driptax\SaoGojob.dll => C:\ProgramData\Driptax\SaoGojob.dll [883200 2015-09-28] () GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449866903&z=8030ce62766807e07efd8b6g5zfz3t7baqcq3taeeo&from=ient07021&uid=ST1000LM024XHN-M101MBB_S314J90F135569135569 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1980786313-716170311-3172534565-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csoHODO84cNYuMHlRGWVhqRwgzZQCjI0kGkkopCuLL1p5BirDNmB9jbEzwkMR52OrwsZBdRrctS-exSyW5CAW9Po4X1HLgaray-qBEhdP2wpLBbE0ZhB5t4Yp-L2cJrSgwToJffy-8n0AA,,&q={searchTerms} HKU\S-1-5-21-1980786313-716170311-3172534565-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csoHODO84cNYuMHlRGWVhqRwgzZQCjI0kGkkopCuLL1p5BirDNmB9jbEzwkMR52OrwsZBdRrctS-exSyW5CAW9Po4X1HLgaray-qBEhdP2wpLBbE0ZhB5t4Yp-L2cJrSgwToJffy-8n0AA,,&q={searchTerms} HKU\S-1-5-21-1980786313-716170311-3172534565-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csoHODO84cNYuMHlRGWVhqRwgzZQCjI0kGkkopCuLL1p5BirDNmB9jbEzwkMR52OrwsZBdRrctS-exSyW5CAW9Po4X1HLgaray-qBEhdP2wpLBbE0ZhB5t4Yp-L2cJrSgwToJffy-8n0AA,,&q={searchTerms} URLSearchHook: HKU\S-1-5-21-1980786313-716170311-3172534565-1001 - (Brak nazwy) - {4c60e5ab-5c68-4c59-abaa-885010b24b32} - Brak pliku SearchScopes: HKU\S-1-5-21-1980786313-716170311-3172534565-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {c66a678d-5e6c-4af9-8f57-c6192f42cf74} - Brak pliku Toolbar: HKU\S-1-5-21-1980786313-716170311-3172534565-1001 -> Brak nazwy - {C66A678D-5E6C-4AF9-8F57-C6192F42CF74} - Brak pliku FF HKU\S-1-5-21-1980786313-716170311-3172534565-1001\...\Firefox\Extensions: [{0293E99F-EEC4-37CA-8FD2-1E89B11A26CF}] - C:\Program Files (x86)\ver5SpeeditUp\189.xpi => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe S1 {41dd6130-8c97-47b1-a0d4-6ee31608c702}Gw64; system32\drivers\{41dd6130-8c97-47b1-a0d4-6ee31608c702}Gw64.sys [X] S1 {5a175d0d-5539-4e73-8563-80c93aa35313}Gw64; system32\drivers\{5a175d0d-5539-4e73-8563-80c93aa35313}Gw64.sys [X] S1 {712c470d-11c2-4e3b-b30b-b9606cb36aed}Gw64; system32\drivers\{712c470d-11c2-4e3b-b30b-b9606cb36aed}Gw64.sys [X] S1 {75afa305-1b32-4464-a5e2-f606c80b73a4}Gw64; system32\drivers\{75afa305-1b32-4464-a5e2-f606c80b73a4}Gw64.sys [X] S1 {770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64; system32\drivers\{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64.sys [X] S1 {b4a69fee-d6ff-4bda-bdd9-f5dbbe57aa69}Gw64; system32\drivers\{b4a69fee-d6ff-4bda-bdd9-f5dbbe57aa69}Gw64.sys [X] S1 {b6f164a0-5e01-4c08-b4af-72276812d17d}Gw64; system32\drivers\{b6f164a0-5e01-4c08-b4af-72276812d17d}Gw64.sys [X] S1 {da0b130f-7ef7-4a5c-97ff-4239bbc3502d}Gw64; system32\drivers\{da0b130f-7ef7-4a5c-97ff-4239bbc3502d}Gw64.sys [X] S1 {e8294a7e-8442-4f3a-8722-cb5c3f67ed67}Gw64; system32\drivers\{e8294a7e-8442-4f3a-8722-cb5c3f67ed67}Gw64.sys [X] S1 {fa03420d-05ef-4826-9373-bf3c8734921f}Gw64; system32\drivers\{fa03420d-05ef-4826-9373-bf3c8734921f}Gw64.sys [X] S1 {fd74c1d1-1ac3-43f9-8336-32679dc7de45}Gw64; system32\drivers\{fd74c1d1-1ac3-43f9-8336-32679dc7de45}Gw64.sys [X] Task: {18B6F418-7635-4D89-B044-433AC306A810} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {23F0D79D-84C0-4564-B325-62EA73FC18EF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {2A5D01D5-2D85-468B-93C7-DCE68B8317EF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {4E04D3CF-230C-47A6-B386-A26D4C3C0ACE} - System32\Tasks\{49720866-9BFB-406A-8E56-D00C70BDEA56} => pcalua.exe -a "C:\Program Files (x86)\Common Files\VillaSaotech\uninstall.exe" -c -f "C:\Program Files (x86)\Common Files\VillaSaotech\uninstall.dat" -a uninstallme 95961693-4B77-4840-AF17-6D7F2EB5C103 DeviceId=97e2cf90-80c7-e724-e482-601e24451464 BarcodeId=50028003 ChannelId=3 DistributerName=APSFIsc Task: {6A0D5A7C-CB4A-4E97-AE17-107A84C9432F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {6E1D43F6-FE4B-4BA0-BF4F-39799455000F} - System32\Tasks\Rush Image => Rundll32.exe "C:\Users\Przemek\AppData\Local\Rush Image\Bin\RushImage.dll",#3 Task: {73A75CAF-D682-4E77-B96E-303084F9D4B3} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {768B4EA4-5B76-439D-8D73-CC5BAF33F774} - \PCDoctorBackgroundMonitorTask -> Brak pliku Task: {8712ADB4-7155-4737-B2C4-F7F8B2CA3A1D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {89D7DF49-6CFE-4C29-AB85-35696E4518F5} - System32\Tasks\aeUB8660hRr => C:\Users\Przemek\AppData\Roaming\aeUB8660hRr.exe Task: {8A780407-C5A0-40E2-960A-DA8823A0DAA9} - System32\Tasks\{EFBB6034-8087-47CD-8272-93DD24C25BCF} => pcalua.exe -a "C:\Program Files (x86)\360\Total Security\Uninstall.exe" Task: {8CABE4A8-A30B-438D-BF8E-355521F75C93} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {A36AB3D4-0C76-447F-84E1-94B3138E19EC} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {BBECFAA3-9FFF-4662-B2B7-EA834F71BA82} - System32\Tasks\6CEEEvaNHqz3OyRv => C:\Users\Przemek\AppData\Roaming\6CEEEvaNHqz3OyRv.exe Task: {BE2AE13A-8166-4285-9ADA-FB21E85653B4} - \SystemToolsDailyTest -> Brak pliku Task: {D0887662-2314-48FF-98A2-35FF654231B3} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {EE6E006B-FD3F-4C39-99D1-81F90327C4B8} - \PCDEventLauncherTask -> Brak pliku Task: {EF98FEE3-E118-4CA7-AA7A-0926C9127FED} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {F216AAD1-B817-4CF5-B2B6-BBD46E758724} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {FA1B5348-E269-4C1F-ACFA-1E0792A42C6B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: C:\WINDOWS\Tasks\6CEEEvaNHqz3OyRv.job => C:\Users\Przemek\AppData\Roaming\6CEEEvaNHqz3OyRv.exe Task: C:\WINDOWS\Tasks\aeUB8660hRr.job => C:\Users\Przemek\AppData\Roaming\aeUB8660hRr.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\instalki.pl DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BTMTrayAgent /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "FromDocToPDF EPM Support" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "FromDocToPDF AppIntegrator 64-bit" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "FromDocToPDF AppIntegrator 32-bit" /f RemoveDirectory: C:\$360Section RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\browser\defaults RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\ProgramData\360Quarant RemoveDirectory: C:\ProgramData\Driptax RemoveDirectory: C:\ProgramData\Driptaxs RemoveDirectory: C:\Users\Administrator\AppData\Local\FromDocToPDF_65 RemoveDirectory: C:\Users\Administrator\AppData\LocalLow\FromDocToPDF_65 RemoveDirectory: C:\Users\Przemek\AppData\Local\Google RemoveDirectory: C:\Users\Przemek\AppData\Local\Lenovo RemoveDirectory: C:\Users\Przemek\AppData\Local\Rush Image RemoveDirectory: C:\Users\Przemek\AppData\Local\Opera Software RemoveDirectory: C:\Users\Przemek\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Przemek\Downloads\SpyHunter Security Suite v3.12.31 [ENG] [Crack] RemoveDirectory: C:\Users\Przemek\REACHit RemoveDirectory: C:\WINDOWS\System32\Tasks\Lenovo C:\ProgramData\*.log C:\Users\Przemek\AppData\Roaming\6CEEEvaNHqz3OyRv C:\Users\Przemek\AppData\Roaming\aeUB8660hRr C:\Users\Przemek\Downloads\*-dp*.exe C:\Users\Przemek\Documents\*Downloader* C:\Users\Przemek\Downloads\*INSTALKI.pl*.exe C:\Users\Przemek\Downloads\*sciagnij*.exe C:\Users\Przemek\Downloads\G6hwiz0QXsE&hl=de_DE&fs=1&rel=0&color1=0x006699&color2=0x54abd6&autoplay=0.swf EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) zgodnie z konfiguracją tu na forum, ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt + zoek-results.txt. Potwierdź także, że problem ustąpił w przeglądarce Edge.

1. AdwCleaner nadal widzi te same wpisy. Skoro reset Google Chrome tego nie likwiduje, zrób inną kombinację w Google Chrome: menu Ustawienia > Ustawienia > Osoby > załóż nowy czysty profil i się na niego zaloguj, a poprzedni skasuj. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Przez SHIFT+DEL (omija Kosz) usuń z Pulpitu foldery FRST. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle z mojej strony.

Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Poczytaj na co uważać: KLIK.

Dzięki za "małą pomoc". Temat rozwiązany. Zamykam.

Wszystko zrobione. Ostatnia drobna poprawka nowe puste wpisy. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [PrivDogService] => "C:\Program Files (x86)\AdTrustMedia\PrivDog\2.2.0.14\trustedadssvc.exe" ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Users\Patryk_2\Desktop\FRST-OlderVersion CMD: del /q C:\Users\Patryk_2\Desktop\8svwje29.exe CMD: del /q C:\Users\Patryk_2\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO na czas akcji. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST zbędne.

Wszystko pomyślnie wykonane. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Poza tym, Adobe Reader XI (11.0.08) trzeba ręcznie zaktualizować do wersji 11.0.13.

W zasadach działu jest wyraźnie powiedziane, by na własną rękę skryptów nie powtarzać więcej niż raz. Skrypty są jednorazowego użytku. Na początku był tu problem i skrypt się nie wykonał, więc zaleciłam stosowne poprawki. One zostały wdrożone, z wyjątkiem jednej komendy (post #10). W tym momencie cały poprzedni skrypt już nieaktualny i nie wolno było go powtarzać, bo kolejnym zadaniem byłaby budowa całkiem innego skryptu o zawartości dopasowanej do wykonanych zmian. W poście #11 wyraźnie powiedziałam które akcje zrobić (resety przeglądarek i dostarczyć logi), a nie żaden skrypt. A Ty na własną rękę użyłaś go ponownie aż dwa razy! To było bez sensu (99% skryptu nie wykonane, bo już nieaktualne). Proszę na przyszłość nie ponawiaj operacji, jeśli nie zostaniesz wyraźnie poinstruowana w tej materii. W sumie wszystkie zadania wykonane. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Posty połączyam doprowadzając do oczekiwanej na starcie formy. Oczywiśie odpowiadasz mi już w nowym poście. Problemów jest tu więcej, tzn. poszkodowana przeglądarka Google Chrome przekonwertowana kiedyś przez adware do tzw. "wersji developerskiej" - wymagana kompletna reinstalacja przeglądarki od zera. Działania do przeprowadzenia: 1. Operacje związane z Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki - Opcja 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj Google Chrome, bo sktypt będzie doczyszczał jej elementy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ&q={searchTerms} HKU\S-1-5-21-1948486060-1122046647-2940547672-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ&q={searchTerms} HKU\S-1-5-21-1948486060-1122046647-2940547672-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ HKU\S-1-5-21-1948486060-1122046647-2940547672-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ HKU\S-1-5-21-1948486060-1122046647-2940547672-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ&q={searchTerms} FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku] FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) R2 WdMan; C:\ProgramData\pWdMp\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 TEAM; system32\DRIVERS\RtTeam60.sys [X] S3 VLAN; system32\DRIVERS\RtVLAN60.sys [X] Task: {2CD5D3A6-0A9C-4FF3-A235-C210492F3B2F} - System32\Tasks\{4D0B0032-D304-4ECA-AAF9-FED9EDD426D1} => pcalua.exe -a C:\Users\Andrzej\Downloads\LeagueofLegends_EUNE_Installer_9_15_2014.exe -d C:\Windows\SysWOW64 -c /groupsextract:100;101;102; /out:"C:\Users\Andrzej\AppData\Roaming\Riot Games\League of Legends\prerequisites" /callbackid:5248 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\pWdMp RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin RemoveDirectory: C:\Users\Andrzej\AppData\Local\Google RemoveDirectory: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Install Logic CMD: del /q C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie potem przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Drobne poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\BonanzaDealsLive DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\Softonic DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\OB DeleteKey: HKCU\Software\WEBAPP DeleteKey: HKCU\Software\Reg\Clean DeleteKey: HKCU\Software\Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE063412-BEA4-4D76-8ED3-183BE6220D17} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B18906DF-1DFA-4D50-8A1F-7D076A8C87B7} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10921475-03CE-4E04-90CE-E2E7EF20C814} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE063412-BEA4-4D76-8ED3-183BE6220D17} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B18906DF-1DFA-4D50-8A1F-7D076A8C87B7} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{10921475-03CE-4E04-90CE-E2E7EF20C814} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{14E81E45-9C4E-4C43-8C97-BCD59266556E} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10921475-03CE-4E04-90CE-E2E7EF20C814} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExd DeleteKey: HKLM\SOFTWARE\Wow6432Node\BonanzaDealsLive DeleteKey: HKLM\SOFTWARE\Wow6432Node\delta-homesSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\omiga-plusSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\Reg\Clean DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{14E81E45-9C4E-4C43-8C97-BCD59266556E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{213AC9B7-0374-4899-B2C1-19DAF6FDA27A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{6F4BCE24-003F-40F1-BBD7-D46663BF95FC} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BonanzaDealsLive.exe DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\BonanzaDealsLive RemoveDirectory: C:\Users\hp-pc\SupTab RemoveDirectory: C:\Users\hp-pc\AppData\Local\BonanzaDealsLive CMD: del /q C:\Users\hp-pc\*.exe CMD: del /q C:\WINDOWS\system32\roboot64.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

W takim razie nie wiem o co chodzi, bo DelFix komunikował usunięcie folderu C:\FRST, a Hitman wykrył FRST w tym właśnie folderze. Sprawdź czy folder ten nadal jest na dysku - jeśli tak, to przez SHIFT+DEL (omija Kosz) skasuj potwierdzając wszystkie komunikaty o "usuwaniu plików systemowych". Na koniec wyczyść foldery Przywracania systemu oraz uzupełnij najnowsze wersje odinstalowanych programów Adobe i Java (o ile potrzebne): KLIK.

Wszystko zrobione. Teraz poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-456985443-2800898146-1698058886-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\User\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\User\AppData\Local\GscWare RemoveDirectory: C:\Users\User\Documents\Mobogenie CMD: del /q C:\Windows\system32\pl.html Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix FRST w ogóle się nie wykonał. Tylko zabił procesy i w ogóle nie przeszedł dalej. Powtarzaj zadanie ze skryptem z poziomu Trybu awaryjnego Windows.

Nie zostały przeczytane zasady działu, ani instrukcja tworzenia raportu FRST. Pomoc w oparciu o jeden log FRST jest niemożliwa. Proszę wrócić do instrukcji i zrobić porządnie raporty FRST: KLIK. Mają powstać trzy pliki FRST.txt, Addition.txt, Shortcut.txt.