picasso

Proszę dostosuj się do zasad działu i dostarcz obowiązkowe logi: KLIK.

Zadanie pomyślnie wykonane. Teraz: 1. Usuń używane narzędzia przy udziale DelFix. 2. Zrób jeszcze skan za pomocą Hitman Pro. Nic nie usuwaj, tylko dostarcz log wynikowy.

Skoro FRST się już zdołał uruchomić, to przemapował dysk tymczasowo w pamięci i ustawił C, czyli dwa razy wklepujesz komendę uruchomienia: za pierwszym razem przed uruchomieniem FRST na D, ale gdy już FRST się uruchomi i przemapuje dyski po czym zamknie, to inicjujesz go ponownie z C.

DNS zmieniasz tu:

Nie podałeś mi modelu routera, o co prosiłam wcześniej. Skąd mam wiedzieć gdzie masz wejść. Ale pytanie sugeruje, że chcesz wykonać błędną edycję. Masz zedytować adresy DNS, a to co jest na obrazku w linku to co innego (konfiguracja zamykania dostępu). Czyli są dwie edycje do wykonania: modyfikacja DNS (tu wprowadzasz adresy IP Google) + zamknięcie panelu od strony internetu (tu nie wprowadzasz żadnych IP).

1. Nie został odinstalowany pasek AVG Web TuneUp. To do wykonania i to przed wykonaniem punktu 2 (AdwCleaner uszkodzi program i uniemożliwi jego poprawną deinstalację). 2. Uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Prawie wszystko zrobione. Kończymy: 1. Zapomniałaś odinstalować Java 8 Update 40. To do zrobienia. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Poczytaj na co uważać, by uniknąć podobnych problemów: KLIK. 4. I cały system do aktualizacji. Stan obecny - brak SP1, IE9 i reszty łat: Platform: Microsoft Windows 7 Home Premium (X86) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

1. Jeszcze do deinstalacji HP Deskjet 5520 series — badanie mające na celu poprawę produktów. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Końcowe poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List HKLM-x32\...\Run: [sDTray] => "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

W instrukcji jest podane, by sprawdzić za pomocą Notatnika mapowanie dysków. To co jest C spod działającego Windows, wcale nie musi być C w środowisku RE. Tu dysk z system przypuszczalnie jest pod D, bo jest ukryta partycja rozruchowa "Zastrzeżone przez system" (w RE widoczna i mapowana jako pierwsza, więc to ona ma C). Ale to sprawdzisz trikiem z Notatnikiem.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Lenovo-PC\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\5WdM5\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Lenovo-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 ShortcutWithArgument: C:\Users\Lenovo-PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449856463&z=6ab0e21243cdd679478ff83g4z8z7t4b2w0q8z6q5m&from=ient07021&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 ShortcutWithArgument: C:\Users\Lenovo-PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 ShortcutWithArgument: C:\Users\Lenovo-PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449856463&z=6ab0e21243cdd679478ff83g4z8z7t4b2w0q8z6q5m&from=ient07021&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 ShortcutWithArgument: C:\Users\Lenovo-PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449856463&z=6ab0e21243cdd679478ff83g4z8z7t4b2w0q8z6q5m&from=ient07021&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449856463&z=6ab0e21243cdd679478ff83g4z8z7t4b2w0q8z6q5m&from=ient07021&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449856463&z=6ab0e21243cdd679478ff83g4z8z7t4b2w0q8z6q5m&from=ient07021&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958&q={searchTerms} HKU\S-1-5-21-622813587-3895099335-1296654335-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449856463&z=6ab0e21243cdd679478ff83g4z8z7t4b2w0q8z6q5m&from=ient07021&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958&q={searchTerms} HKU\S-1-5-21-622813587-3895099335-1296654335-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 HKU\S-1-5-21-622813587-3895099335-1296654335-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 HKU\S-1-5-21-622813587-3895099335-1296654335-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449856463&z=6ab0e21243cdd679478ff83g4z8z7t4b2w0q8z6q5m&from=ient07021&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448351026&z=578139254da48c1b65cf6d0g6z0zcbdc3wdgbe8ocb&from=ient07031&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958&q={searchTerms} SearchScopes: HKU\S-1-5-21-622813587-3895099335-1296654335-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449856463&z=6ab0e21243cdd679478ff83g4z8z7t4b2w0q8z6q5m&from=ient07021&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958&q={searchTerms} SearchScopes: HKU\S-1-5-21-622813587-3895099335-1296654335-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449856463&z=6ab0e21243cdd679478ff83g4z8z7t4b2w0q8z6q5m&from=ient07021&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958&q={searchTerms} BHO-x32: Sonic Train -> {0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc} -> C:\Program Files (x86)\Sonic Train\Extensions\0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1443819225&z=fb9ebbf736721c8c112ae5bg5z4z4ccb1g0t0e4o8w&from=cor&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Lenovo-PC\AppData\Roaming\Mozilla\Firefox\Profiles\5jsk89mv.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Lenovo-PC\AppData\Roaming\Mozilla\Firefox\Profiles\5jsk89mv.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Lenovo-PC\AppData\Roaming\Mozilla\Firefox\Profiles\5jsk89mv.default\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Lenovo-PC\AppData\Roaming\Mozilla\Firefox\Profiles\5jsk89mv.default\extensions\yahooprotected@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449856463&z=6ab0e21243cdd679478ff83g4z8z7t4b2w0q8z6q5m&from=ient07021&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449856463&z=6ab0e21243cdd679478ff83g4z8z7t4b2w0q8z6q5m&from=ient07021&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449856463&z=6ab0e21243cdd679478ff83g4z8z7t4b2w0q8z6q5m&from=ient07021&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449856463&z=6ab0e21243cdd679478ff83g4z8z7t4b2w0q8z6q5m&from=ient07021&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-12-06] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449856463&z=6ab0e21243cdd679478ff83g4z8z7t4b2w0q8z6q5m&from=ient07021&uid=ST750LM022XHN-M750MBB_S2R9JX0F100958 Task: {443FCE76-AD20-4A4F-9787-6B63C3FCB6AC} - System32\Tasks\{EFD5877A-9BAE-47C1-AC62-D7081DF2B4F7} => pcalua.exe -a C:\Users\Lenovo-PC\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cor Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite Automount" /f DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\5WdM5 RemoveDirectory: C:\ProgramData\lWMiniProl RemoveDirectory: C:\Users\Lenovo-PC\AppData\Roaming\eCyber RemoveDirectory: C:\Users\Lenovo-PC\AppData\Roaming\TSv CMD: del /q C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat CMD: del /q "C:\Users\Lenovo-PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk" CMD: del /q "C:\Users\Lenovo-PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa (2).lnk" CMD: del /q "C:\Users\Lenovo-PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\DAEMON Tools Lite.lnk" CMD: del /q C:\Windows\SysWOW64\pl.html CMD: del /q C:\Windows\SysWOW64\pl8.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy yoursites123 (o ile będzie widoczny). 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Proszę dostosować się do zasad działu i dostarczyć obowązkowe tu logi: KLIK. Logi z przestarzałeo OTL w ogóle nie są tu brane pod uwagę, usuwam. I na temat używania ComboFix: KLIK.

Spróbuj te wszystkie wejścia usunąć za pomocą Wise Program Uninstaller. Po tym zrób nowy log FRST, ale podaj tylko plik Addition. O tym jest w przyklejonym: KLIK.

Kończymy: 1. Usuń pobrane skanery i ich logi z folderu C:\delete. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Przeczytaj na co uważać: KLIK.

W związku z tym wykonaj reset routera do ustawień fabrycznych przyciskiem na obudowie, po tym spróbuj się zalogować i wykonać podane operacje.

Logi uzupełnione. Teraz już odpowiadaj mi w nowym poście, nie edytuj pierwszego. Operacje do przeprowadzenia: 1. Odinstaluj stare wersje: Ad-Aware Browsing Protection, Adobe Flash Player 10 ActiveX, Adobe Flash Player 12 Plugin, HP Customer Participation Program 13.0, Java 8 Update 40. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Paulina\Desktop\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449657144&z=1a734dfea5e2d3af09cbeb2g7z9z9t5q9w4m9g7z8m&from=ient07021&uid=ST3500418AS_9VM3RPCVXXXX9VM3RPCV ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449657144&z=1a734dfea5e2d3af09cbeb2g7z9z9t5q9w4m9g7z8m&from=ient07021&uid=ST3500418AS_9VM3RPCVXXXX9VM3RPCV ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449657144&z=1a734dfea5e2d3af09cbeb2g7z9z9t5q9w4m9g7z8m&from=ient07021&uid=ST3500418AS_9VM3RPCVXXXX9VM3RPCV ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449657144&z=1a734dfea5e2d3af09cbeb2g7z9z9t5q9w4m9g7z8m&from=ient07021&uid=ST3500418AS_9VM3RPCVXXXX9VM3RPCV ShortcutWithArgument: C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449657144&z=1a734dfea5e2d3af09cbeb2g7z9z9t5q9w4m9g7z8m&from=ient07021&uid=ST3500418AS_9VM3RPCVXXXX9VM3RPCV ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449657144&z=1a734dfea5e2d3af09cbeb2g7z9z9t5q9w4m9g7z8m&from=ient07021&uid=ST3500418AS_9VM3RPCVXXXX9VM3RPCV ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449657144&z=1a734dfea5e2d3af09cbeb2g7z9z9t5q9w4m9g7z8m&from=ient07021&uid=ST3500418AS_9VM3RPCVXXXX9VM3RPCV CustomCLSID: HKU\S-1-5-21-2760027905-1824020503-3447031478-1001_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\Paulina\Desktop\BESTplayer.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-2760027905-1824020503-3447031478-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Paulina\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {7702505A-92E0-43C3-8EAE-26A00815A0E1} - \GoogleUpdateTaskMachineUA -> Brak pliku Task: {CE47A491-9F34-43C0-B048-744398264373} - System32\Tasks\Ad-Aware Antivirus Scheduled Scan => C:\PROGRA~1\AD-AWA~1\AdAwareLauncher.exe Task: {E3E5F466-E532-4996-8591-74B0D4AF675E} - System32\Tasks\{CCE99EED-5FAF-4370-A181-D8A3BC6D6457} => pcalua.exe -a E:\M135_6.0.18.08091501_Drv3.5.x.83_SwEncoder3.0.1.2_AVIN1.1.0.10._1.0.0.6_081030.exe -d E:\ BootExecute: autocheck autochk * sdnclean.exe SearchScopes: HKU\S-1-5-21-2760027905-1824020503-3447031478-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\yoursites123Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\ProgramData\tWdMt RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 4.lnk" CMD: del /q "C:\Users\Paulina\Desktop\Różne\DAEMON Tools Pro.lnk" CMD: del /q "C:\Users\Paulina\Desktop\Różne\Origin.lnk" CMD: del /q "C:\Users\Paulina\Desktop\Różne\PIT Projekt 2013.lnk" CMD: del /q "C:\Users\Paulina\Desktop\Różne\PIT Projekt 2014.lnk" CMD: del /q "C:\Users\Paulina\Desktop\Różne\Spybot-S&D Start Center.lnk" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Zapomniałeś podać log AdwCleaner z wynikami usuwania.

Proszę przeczytaj zasady działu i dostarcz wymagane logi: KLIK.

Wszystko zrobione. Poprawki, w tym usunięcie wpisów Pokki. Otwórz Notatnik i wklej w nim: Task: {28F1964D-16EB-422D-AD62-67F8B3761DEF} - System32\Tasks\SweetLabs App Platform => C:\Users\Lukasz\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe [2015-10-30] (Pokki) DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\SweetLabs_Start_Menu S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Lukasz\AppData\Local\SweetLabs App Platform RemoveDirectory: C:\WINDOWS\System32\Tasks\Safer-Networking RemoveDirectory: C:\zoek_backup CMD: del /q "C:\Users\Lukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\PC App Store.lnk" CMD: del /q "C:\Users\Lukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Menu.lnk" CMD: del /q "C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk" CMD: del /q "C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pokki Menu.lnk" CMD: del /q "C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk" CMD: del /q "C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk" CMD: del /q "C:\Users\Public\Desktop\Post Win10 Spybot-install.exe" CMD: del /q "C:\WINDOWS\System32\Tasks\SweetLabs App Platform" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To tyle.

Problemem jest infekcja DNS routera. Poniższy adres nie jest polski: KLIK. Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8 Operacje do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. I podaj dokładny model routera.

Log krótki. Po prostu wklej jego treść do posta.

Nie wiem o co chodzi. Logi wyglądają jakby coś zablokowało modyfikacje rejestru lub zrzucono w międzyczasie starą wesję rejestru. W logach na liście zainstalowanych te same pozycje, tylko że programy są w szczątkach, podobnie z resztą wpisów... Poprawki: 1. Deinstalacje: - Wejdź w Tryb awaryjny i zastosuj ESET Uninstaller. Po jego użyciu opuść Tryb awaryjny. - Przez Panel sterowania odinstaluj: Adobe Flash Player 11 ActiveX, Adobe Flash Player 16 NPAPI, Adobe Reader XI (11.0.13) - Polish, Akamai NetSession Interface, Badanie mające na celu poprawę produktów HP Deskjet 2540 series, Bing Bar, Spybot - Search & Destroy, SpyHunter. To wszystko to uszkodzone wejścia, ale Windows powinien zapytać czy usunąć te puste wpisy z listy. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: S2 .EsetTrialReset; C:\Windows\system32\regedt32.exe /s C:\Windows\esettrialreset.reg S2 AdobeARMservice; "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe" [X] S2 BBSvc; C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\BBSvc.exe [X] S3 BBUpdate; C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\SeaPort.exe [X] S3 BITCOMET_HELPER_SERVICE; C:\Program Files (x86)\BitComet\tools\BitCometService.exe -service [X] S2 IhPul; C:\Users\Krzysiek\AppData\Roaming\TSv\TSvr.exe [X] S2 SDScannerService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [X] S2 SDUpdateService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [X] S2 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [X] S2 SpyHunter 4 Service; C:\PROGRA~2\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] Task: {41772D7A-5289-4A0F-A680-24040A47EE75} - \Adobe Acrobat Update Task -> Brak pliku Task: {4EC41F23-303E-436B-A67D-6B5F308618FC} - \Safer-Networking\Spybot - Search and Destroy\Refresh immunization -> Brak pliku Task: {5D7DC37B-71F1-4093-98DD-DB0AAB8C087E} - \Safer-Networking\Spybot - Search and Destroy\Check for updates -> Brak pliku Task: {84BA99F9-8108-4E9D-8FA5-2EDA9ABB45B8} - \{F64E7904-D529-4E96-9F80-90AD75CEF134} -> Brak pliku Task: {8DC9890B-4D11-4ABC-BB5E-003F89EC68DC} - \Safer-Networking\Spybot - Search and Destroy\Scan the system -> Brak pliku Task: {93A48392-6E7F-4C4B-90F5-EAB8A4AD7D55} - \SpyHunter4Startup -> Brak pliku Task: {BAD8021B-6C60-4F1F-8AE0-389207B9F6AE} - \HPCustParticipation HP Deskjet 2540 series -> Brak pliku Task: {C9B119B5-54B6-4156-9130-9B7A55734F61} - \{B8D6475C-7981-4762-9459-6E2CF40F10AD} -> Brak pliku HKLM-x32\...\Run: [] => [X] Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Krzysiek\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\...\Run: [spybot-S&D Cleaning] => "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDCleaner.exe" /autoclean HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\...\Run: [Mobile Partner] => C:\Program Files (x86)\Huawei E5372\Huawei E5372 HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => "C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe" BootExecute: autocheck autochk * sdnclean64.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS&q={searchTerms} HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS&q={searchTerms} HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: BitComet Helper -> {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -> C:\Program Files (x86)\BitComet\tools\BitCometBHO_1.5.4.11.dll => Brak pliku BHO-x32: Spybot-S&D IE Protection -> {53707962-6F74-2D53-2644-206D7942484F} -> C:\Program Files (x86)\Spybot - Search & Destroy 2\SDHelper.dll => Brak pliku BHO-x32: Brak nazwy -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> Brak pliku Toolbar: HKLM-x32 - Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\BingExt.dll" Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446576877&z=2818ad731409dc09cb63051gfz1z0q4wdm4q5q5e7g&from=cor&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_16_0_0_305.dll [brak pliku] FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_305.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Krzysiek\AppData\Roaming\Mozilla\Firefox\Profiles\6icqkcxr.default\extensions\default_newtabff@gmail.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\BitComet RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\BitComet RemoveDirectory: C:\Users\Krzysiek\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale Shortcut. Dołącz też plik fixlog.txt.

Proszę dostosuj się do zasad działu i dostarcz obowiązkowe logi: KLIK.

Przecież w podanym przeze mnie opisie AdwCleaner jest napisane jakie oznaczenia mają logi... Zbędny usuwam. Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania czego unikać: KLIK.

Kontynuuj z dalszymi czynnościami.