picasso

Aktualizacje nie likwidują plików użytkownika. A są potrzebne tu, bo system nie jest zabezpieczony. Proszę wejdź do tematu który linkowałam, tam wszystko jest zlinkowane: KLIK. Przy czym linki do SP2 i IE9 nie załatwiają tu sprawy, w związku z brakiem SP2 jest o wiele więcej aktualizacji do wykonania. Zamiast pobierać z linków po prostu uruchom Windows Update w swoim systemie i wykonaj wyszukiwanie + instalację aktualizacji. Proces powtarzasz tyle razy, aż Windows Update zwróci komunikat o braku wykrytych aktualizacji. To potrwa bardzo długo. Ostatnio aktualizowałam komuś taką Vista SP1 i trwało to ... dwa dni.

Wszystko pomyślnie wykonane. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Przejdź w Tryb awaryjny Windows i zapuść taki oto skrypt do FRST: RemoveDirectory: C:\Users\lucky\Downloads\installer Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Kończymy: 1. Zastosują DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Poczytaj na co uważać: KLIK.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\...\Run: [Clownfish] => 0 HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\...\Run: [bingSvc] => C:\Users\Michał\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-11] (© 2015 Microsoft Corporation) GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1115924686-2776352850-3644351443-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} SearchScopes: HKU\S-1-5-21-1115924686-2776352850-3644351443-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} SearchScopes: HKU\S-1-5-21-1115924686-2776352850-3644351443-1002 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY Edge HomeButtonPage: HKU\S-1-5-21-1115924686-2776352850-3644351443-1002 -> hxxp://www.mystartsearch.com/?type=hp&ts=1444924057&z=d899f6f6d39a682d6380dceg6zdz9z8t8ocz8edw7m&from=cornl&uid=wdcxwd10ezex-00bn5a0_wd-wcc3f6ne43fye43fy CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY" CHR HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx Task: {01328E16-2AF6-43F4-9BE5-3C395BF6C87F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {0E57B90D-E108-46E5-8C4F-20B9D9CFADBF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {4CFABD42-8534-4358-B5A5-4FBFFB6BABB1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {6A40F6F6-E760-4DDC-AC10-4CE1FD49BCC9} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6BF11E81-E56C-48ED-9643-71BE3A65F88D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {73A24B5C-626B-4C02-8F3E-50DEB04B5943} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {798A506F-A2F9-4597-96BA-2DBF8B1905CF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {7A55AAAB-D063-4562-8223-D8CBE4F030FD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {83CEA685-A308-4EAE-8307-E385D2FA1E28} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {B2DC40BE-3686-4BC0-A40C-A725B89F5666} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BB0D50E3-284A-4CCF-96A7-A4326EC4B8AB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {C0F40F3E-6B39-46B2-B32E-0BD2EF83E9E4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\ProgramData\31f7a620-acbd-4f84-82db-5e231b8ad5de RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Serious Sam 3 BFE RemoveDirectory: C:\Users\Michał\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Michał\AppData\Local\Microsoft\Lenovo RemoveDirectory: C:\Windows\System32\Tasks\Lenovo CMD: del /q "C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk" CMD: del /q "C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom Zoek. W oknie wklej: Metric Collection SDK 35;u Klik w Run Script. Powstanie plik zoek-results.log (zmień mu ręcznie rozszerzenie na *.txt). 3. Wyczyść przeglądarki z adware: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware Crazy Score, Jungle Net, Sale Clipper 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt + zoek-results.txt. Potwierdź, że problem ustąpił także w przeglądarce Edge.

Poprawk: 1. Powtórz tę akcję w Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\APN PIP DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sparta W2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sparta W1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sparta N DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sparta D1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sun DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sat DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder24 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\AskPartnerNetwork RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\apn RemoveDirectory: C:\Users\Grzesiek\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\Grzesiek\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Grzesiek\Desktop\y2xjljpv.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Brakuje nowego pliku głównego FRST.txt. Uzupełnij. Jeśli chodzi o Edge, to modyfikacja jest poza widocznością raportów. Wykonaj reset ustawień za pomocą skryptu FRST. Tzn.: 1. Zamkij przeglądarkę. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom przeglądarkę ponownie i potwierdź, że śmieci się nie uruchamiają. Poza tym, na wszelki wypadek podaj mi jeszcze szukanie w rejestrze. Uruchom FRST, w polu Szukaj wklep yoursites123, klik w Szukaj w rejestrze i dostarcz wynikowy log.

Fix wykonany pomyślnie. Bing był poprzednio widoczny w raporcie FRST, za to nie było Adguard. Być może Bing samoczynnie zniknął. Na wszelki wypadek zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Skrypty są jednorazowego użytku. Fix był uruchamiany dwa razy. Podany tu Fixlog nie jest właściwym, pochodzi z drugiego uruchomienia, skrypt nie wykona ponownie rzeczy już przetworzonych w pierwszym podejściu. Ale zostaw już ten wątek. Po raportach głównych FRST można stwierdzić, że wszystko zrobione. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystko zgodnie z planem, hijacker usunięty. Poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WarThunder Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Dostarczony log jest właściwym. Wszystko jest jasne. Zadania pomyślnie wykonane. Kończymy: 2. Usuń folder deinstalera Microsoftu C:\MATS. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Poczytaj skąd się biorą te śmieci: KLIK.

Tym razem wszystko wykonane poprawnie, infekcja usunięta. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wyniki są nadal identyczne. 1. W Google Chrome: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. - Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarki istartpageing, mkv-player.softonic.pl. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartpageingSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Po akcji zrób nowy skan AdwCleaner i przedstaw wyniki.

Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Cały system do aktualizacji. Stan obecny to brak SP1, IE11 i reszty łat: Platform: Windows 7 Ultimate (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

Posprzątałam posty. Odpowiadasz mi już w nowym poście. Operacje do wykonania: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 17, Adobe Flash Player 19, AVG Web TuneUp, Browser Configuration Utility, HP Deskjet Ink Adv 2060 K110 Badanie ulepszeń produktu, Trojan Remover 6.9.1. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Documents and Settings\Mariush\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 ShortcutWithArgument: C:\Documents and Settings\Mariush\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 ShortcutWithArgument: C:\Documents and Settings\Mariush\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 ShortcutWithArgument: C:\Documents and Settings\Mariush\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 HKU\S-1-5-21-682003330-1383384898-2147005927-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 HKU\S-1-5-21-682003330-1383384898-2147005927-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 HKU\S-1-5-21-682003330-1383384898-2147005927-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-682003330-1383384898-2147005927-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie URLSearchHook: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 - (Brak nazwy) - {D8278076-BC68-4484-9233-6E7F1628B56C} - Brak pliku URLSearchHook: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 - SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll Brak pliku SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034&q={searchTerms} SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={872B062B-ADB7-479E-9B36-1517E404A96B}&mid=4e30178cc9a747d2860ad1476893f8df-b266acc2a63888a00f59d8d888f9a94a1617c1ea&lang=en&ds=AVG&coid=avgtbavg&cmpid=0715tb&pr=fr&d=2014-11-07 19:11:37&v=4.2.3.128&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> {21BEB72E-6D29-447a-8A4C-AC817E76B870} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> {2EEB919F-7FC1-4257-AAD7-B27A2934AF4A} URL = hxxp://szukaj.gazeta.pl/portalSearch.do?s.si(navigation).navigationEnabled=true&s.sm.query={searchTerms} SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> {40641A2F-8BA0-4019-8FE8-0A5A5131F18C} URL = hxxp://www.search.ask.com/web?tpid=BTRSP-C&o=APN11818&pf=V7&p2=^BVK^YYYYYY^YY^PL&gct=sb&itbv=12.23.0.200&apn_uid=EB8FD4C2-D88D-473C-9329-398C11AFCE6B&apn_ptnrs=^BVK&apn_dtid=^YYYYYY^YY^PL&apn_dbr=ie_8.0.6001.18702&doi=2015-02-07&trgb=IE&q={searchTerms}&psv=&pt=crx SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={872B062B-ADB7-479E-9B36-1517E404A96B}&mid=4e30178cc9a747d2860ad1476893f8df-b266acc2a63888a00f59d8d888f9a94a1617c1ea&lang=en&ds=AVG&coid=avgtbavg&cmpid=0715tb&pr=fr&d=2014-11-07 19:11:37&v=4.2.3.128&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> {C095F89C-54E6-46AE-B847-BE7461EBED61} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Handler: WSISVCUchrome - {78A543EB-3A61-4ED3 - Brak pliku CustomCLSID: HKU\S-1-5-21-682003330-1383384898-2147005927-1003_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\DOCUME~1\Mariush\Pulpit\BESTPL~1.EXE => Brak pliku CustomCLSID: HKU\S-1-5-21-682003330-1383384898-2147005927-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\Mariush\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll => Brak pliku FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\40.2.3\\npsitesafety.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Documents and Settings\Mariush\Dane aplikacji\Mozilla\Firefox\Profiles\4iym9x7j.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\Mariush\Dane aplikacji\Mozilla\Firefox\Profiles\4iym9x7j.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Documents and Settings\Mariush\Dane aplikacji\Mozilla\Firefox\Profiles\xznkcaq9.default-1446748911562\extensions\sidebarff@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\Mariush\Dane aplikacji\Mozilla\Firefox\Profiles\xznkcaq9.default-1446748911562\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\Mariush\Dane aplikacji\Mozilla\Firefox\Profiles\xznkcaq9.default-1446748911562\extensions\yahooprotected@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 R2 IhPul; C:\Documents and Settings\Mariush\Dane aplikacji\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) S2 280f2936; "C:\WINDOWS\system32\rundll32.exe" "c:\progra~1\sw_boo~1\AssistantSvc.dll",service S2 StarWindServiceAE; C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] S3 mcdbus; system32\DRIVERS\mcdbus.sys [X] U3 agnbldn7; Brak ImagePath HKLM\...\Run: [] => [X] HKU\S-1-5-21-682003330-1383384898-2147005927-1003\...\Run: [KiesTrayAgent] => C:\Program Files\Samsung\Kies\/\KiesTrayAgent.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18UA.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe AlternateDataStreams: C:\WINDOWS:CCCE718E191E6371 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google+ Auto Backup DeleteKey: HKU\S-1-5-18\Software\MozillaPlugins RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\cWMiniProc RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\TEMP RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\ZWdMZ RemoveDirectory: C:\Documents and Settings\Mariush\Dane aplikacji\TSv RemoveDirectory: C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\Google\Chrome RemoveDirectory: C:\Program Files\mozilla firefox\browser\searchplugins RemoveDirectory: C:\Program Files\RegCleaner RemoveDirectory: C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\Mariush\Dane aplikacji\Explorer.EXE_log.txt C:\Documents and Settings\Mariush\Dane aplikacji\LiveSupport.exe_log.txt C:\Documents and Settings\Mariush\Dane aplikacji\regsvr32.exe_log.txt C:\Documents and Settings\Mariush\Pulpit\Facebook.lnk C:\Documents and Settings\Mariush\Pulpit\RegCleaner.lnk C:\Documents and Settings\Mariush\Pulpit\Nieużywane skróty pulpitu\MagicDisc.lnk C:\Documents and Settings\Mariush\Pulpit\Nieużywane skróty pulpitu\MagicISO.lnk CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

W celu "rozwiązania" problemu był tu używany skaner wątpliwej reputacji - SpyHunter. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [271464 2015-11-10] () R2 IhPul; C:\Users\Marta\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\BWdMB\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [File not signed] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-11] () ShortcutWithArgument: C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 ShortcutWithArgument: C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 ShortcutWithArgument: C:\Users\Marta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 ShortcutWithArgument: C:\Users\Marta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 ShortcutWithArgument: C:\Users\Marta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartpageing.com/web/?type=ds&ts=1447876706&z=6ad571d02e26a7c48202486gez5z0mdb3m0q0m9e2q&from=cornl&uid=st9500325as_6vem9zc8xxxx6vem9zc8&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartpageing.com/web/?type=ds&ts=1447876706&z=6ad571d02e26a7c48202486gez5z0mdb3m0q0m9e2q&from=cornl&uid=st9500325as_6vem9zc8xxxx6vem9zc8&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartpageing.com/web/?type=ds&ts=1447876706&z=6ad571d02e26a7c48202486gez5z0mdb3m0q0m9e2q&from=cornl&uid=st9500325as_6vem9zc8xxxx6vem9zc8&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartpageing.com/web/?type=ds&ts=1447876706&z=6ad571d02e26a7c48202486gez5z0mdb3m0q0m9e2q&from=cornl&uid=st9500325as_6vem9zc8xxxx6vem9zc8&q={searchTerms} HKU\S-1-5-21-3482904197-1623156157-3889320653-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8&q={searchTerms} HKU\S-1-5-21-3482904197-1623156157-3889320653-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 HKU\S-1-5-21-3482904197-1623156157-3889320653-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 HKU\S-1-5-21-3482904197-1623156157-3889320653-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8&q={searchTerms} SearchScopes: HKLM -> DefaultScope value is missing SearchScopes: HKLM-x32 -> DefaultScope value is missing SearchScopes: HKU\S-1-5-21-3482904197-1623156157-3889320653-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8&q={searchTerms} SearchScopes: HKU\S-1-5-21-3482904197-1623156157-3889320653-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447100000&z=2e7c43b976f30587ca34c17g6zdz1m3ebtet3m7g7w&from=cor&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\cn4nbfst.default\extensions\defsearchp@gmail.com => not found FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\cn4nbfst.default\extensions\deskCutv2@gmail.com => not found FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\cn4nbfst.default\extensions\yahooprotected@gmail.com FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\cn4nbfst.default\extensions\default_newtabff@gmail.com Task: {C417ADC0-BA55-4208-98CD-EF001590B2CA} - System32\Tasks\{4E0F8A68-B219-4EEA-B730-BB9BE4D2B318} => pcalua.exe -a C:\Users\Marta\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> No File DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files\Enigma Software Group RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\BWdMB RemoveDirectory: C:\ProgramData\OWMiniProO RemoveDirectory: C:\ProgramData\Tmp0x0x RemoveDirectory: C:\Users\Marta\AppData\Roaming\Enigma Software Group RemoveDirectory: C:\Users\Marta\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\Marta\AppData\Roaming\TSv C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Marta\Desktop\Marta\Słownik niemiecki\Deutsch Translator XT.lnk C:\Users\Marta\Desktop\Marta\Słownik niemiecki\Handy Dictionary.lnk C:\Users\Marta\Desktop\II semestr\ZINTEGROWANE\kuznia\Sprawozdania z rozmów.lnk C:\Users\Marta\AppData\Roaming\Microsoft\Excel\EAW_6.12304868231595405975\EAW_6.12.xlsx.lnk C:\Windows\system32\Drivers\EsgScanner.sys CMD: type C:\Windows\System32\Tasks\{E76C58BA-3AFB-4FF5-A627-2AB20729F993} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brak widocznych oznak infekcji. Dostarcz brakujący obowiązkowy log z GMER.

Działania do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe Flash Player 10 ActiveX, Adobe Reader 9.1 - Polish, Norton Online Backup. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 0276591449913381mcinstcleanup; C:\Users\sylwia\AppData\Local\Temp\027659~1.EXE [822048 2010-03-10] (McAfee, Inc.) R2 WdMan; C:\ProgramData\XWdMX\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 mfeavfk; system32\drivers\mfeavfk.sys [X] R1 mfehidk; system32\drivers\mfehidk.sys [X] S3 mferkdk; system32\drivers\mferkdk.sys [X] S3 mfesmfk; system32\drivers\mfesmfk.sys [X] R4 MPFP; System32\Drivers\Mpfp.sys [X] ShortcutWithArgument: C:\Users\sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 ShortcutWithArgument: C:\Users\sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 ShortcutWithArgument: C:\Users\sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 ShortcutWithArgument: C:\Users\sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 ShortcutWithArgument: C:\Users\sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001&q={searchTerms} HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001&q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości Task: {4562BF10-FCE1-4C37-BC81-6D79E3A2B834} - System32\Tasks\SUPBackground => C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\found.000 RemoveDirectory: C:\ProgramData\6WdM6 RemoveDirectory: C:\ProgramData\XWdMX RemoveDirectory: C:\Users\sylwia\AppData\Roaming\Mozilla CMD: del /q C:\Users\sylwia\Downloads\*-dp*.exe CMD: del /q C:\Users\sylwia\Downloads\*.crdownload CMD: del /q C:\Users\sylwia\Downloads\Keygen*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Zabrakło trzeciego obowiązkowego raportu FRST Shortcut. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {55685567-4840-4a91-962b-49a412e9485a}w64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys [61112 2014-05-26] (StdLib) R2 IhPul; C:\Users\Sebastian\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1448354052&z=6476c0adde7a03f3dc44b3bgbz3zdb6cfw2zeefz9q&from=ient07031&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1401222184&from=cor&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1401222184&from=cor&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} HKU\S-1-5-21-370357082-4189802998-4001306045-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1434448814&z=5fbd70c2de5467096b8e3cagczdc4zazfz2b5b2g9z&from=ient06161&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} HKU\S-1-5-21-370357082-4189802998-4001306045-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 HKU\S-1-5-21-370357082-4189802998-4001306045-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 HKU\S-1-5-21-370357082-4189802998-4001306045-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1434448814&z=5fbd70c2de5467096b8e3cagczdc4zazfz2b5b2g9z&from=ient06161&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1434448814&z=5fbd70c2de5467096b8e3cagczdc4zazfz2b5b2g9z&from=ient06161&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1434448814&z=5fbd70c2de5467096b8e3cagczdc4zazfz2b5b2g9z&from=ient06161&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} SearchScopes: HKU\S-1-5-21-370357082-4189802998-4001306045-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} SearchScopes: HKU\S-1-5-21-370357082-4189802998-4001306045-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-370357082-4189802998-4001306045-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-370357082-4189802998-4001306045-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} SearchScopes: HKU\S-1-5-21-370357082-4189802998-4001306045-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.delta-homes.com/?type=sc&ts=1434448814&z=5fbd70c2de5467096b8e3cagczdc4zazfz2b5b2g9z&from=ient06161&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => Brak pliku HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-370357082-4189802998-4001306045-1001\...\Policies\system: [DisableLockWorkstation] 0 S3 atillk64; \??\C:\Program Files (x86)\AMD\System Monitor\atillk64.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\delta-homesSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\IHProtect DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupDp DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupTab DeleteKey: HKLM\SOFTWARE\Wow6432Node\supWPM DeleteKey: HKLM\SOFTWARE\Wow6432Node\sweet-pageSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{7D3C47ED-E0BE-4940-9DDA-A7A097AEBD88} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginServices DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Wpm DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\AskPartnerNetwork DeleteKey: HKU\S-1-5-18\Software\VNT Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AdobeAAMUpdater-1.0 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v CanonMyPrinter /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v CanonSolutionMenu /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v UpdReg /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\MiuiTab RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\SupTab RemoveDirectory: C:\ProgramData\apn RemoveDirectory: C:\ProgramData\IePluginServices RemoveDirectory: C:\ProgramData\IHProtectUpDate RemoveDirectory: C:\ProgramData\WPM RemoveDirectory: C:\Users\Sebastian\AppData\Local\bcfd RemoveDirectory: C:\Users\Sebastian\AppData\Roaming\sweet-page RemoveDirectory: C:\Users\Sebastian\AppData\Roaming\TSv C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Sebastian\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Sebastian\AppData\Local\user_data.ini C:\Users\Sebastian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\pl5.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włącz ponownie ręcznie). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition i Shortcut. Dołącz też plik fixlog.txt.

Tytułowy hijacker to tylko część problemów, tu jest: o wiele więcej adware, za dużo antywirusów, dwa uszkodzone konta użytkowników (user i Michał) kierujące na katalogi "TEMP". Michał (S-1-5-21-1225892358-4206154676-1196454770-1004 - Administrator - Enabled) => C:\Users\TEMP.user-Komputer user (S-1-5-21-1225892358-4206154676-1196454770-1000 - Administrator - Enabled) => C:\Users\TEMP Operacje do przeprowadzenia: 1. W Panelu sterowania usuń oba uszkodzone konta: user i Michał. 2. Deinstalacje: - Odinstaluj: AVG 2015, AVG SafeGuard toolbar, fst_pl_132, fst_pl_136, FullScreen for GoogleMaps, HP Deskjet 3520 series — badanie mające na celu poprawę produktów, Installer, Java 8 Update 31, McAfee Security Scan Plus, Pando Media Booster, Plus-HD-V1.5, Settings Manager, WarThunder, youtubeadblocker. Jeśli czegoś nie będzie widać lub zwróci błąd po prostu kontynuuj. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Ja\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\OWdMO\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-12] () S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x86] -> C:\Program Files (x86)\Settings Manager\systemk\sysapcrt.dll HKLM\...\AppCertDlls: [x64] -> C:\Program Files (x86)\Settings Manager\systemk\x64\sysapcrt.dll HKLM-x32\...\Run: [] => [X] Startup: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[ZODIAC-TORRENT]Enemy Front pl GTX BOX Team.lnk [2015-01-19] GroupPolicy: Ograniczenia - Chrome GroupPolicyUsers\S-1-5-21-1225892358-4206154676-1196454770-1004\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {06DA7291-2C86-4190-A5F7-DEA935E8BB5A} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {1033F4D6-1EE5-4A16-8C88-58923AEC05D7} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-6 => C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-novainstaller.exe Task: {15676017-F7A5-45A1-AD74-CE78106C290B} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {1C4EC356-6268-4D74-8C82-595460A75E38} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-3 => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-3.exe Task: {26584EA1-4805-4457-9D9C-901ECE8711CD} - System32\Tasks\AVG-Secure-Search-Update_1114tb_rel => C:\Program Files (x86)\AVG Security Toolbar\AVG-Secure-Search-Update_1114tb.exe [2014-11-12] () Task: {2659261D-C668-4E22-A4C6-777626CA908C} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-1 => C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-codedownloader.exe Task: {2ABE911D-512D-4285-AADE-FD8D1126B437} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {421D7E7A-C574-4EBF-9E15-724C7B81CC76} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-5 => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-5.exe Task: {5FC657F6-7C8A-4AD6-B277-E2B59081DFE9} - System32\Tasks\24seven_savings_updating_service => C:\Program Files (x86)\24Seven savings\24seven_savings_updating_service.exe Task: {63C9CA90-8C5E-4727-B1ED-0B7D490BD8E2} - System32\Tasks\{7B401992-80A7-496C-A00C-28922201ACE6} => pcalua.exe -a "C:\Downloads\The Sims 3 - Late Night\Sims3EP03Setup.exe" -d "C:\Downloads\The Sims 3 - Late Night" Task: {65097CF6-A50B-4268-957A-825A03FAB30F} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-7 => C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-nova.exe Task: {75A3B21B-1505-4D5B-9E85-A6589282D97B} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {84372649-2937-4A56-BC95-3CBBC41F3137} - System32\Tasks\24seven_savings_notification_service => C:\Program Files (x86)\24Seven savings\24seven_savings_notification_service.exe Task: {8CB03D6E-EFA1-480A-971C-AE1F1592DBF6} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-4 => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-4.exe Task: {8DFD487F-641C-4069-AA8E-E4C86736F1C2} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-2 => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-2.exe Task: {A9DFA9B4-3A9F-4882-9940-80C4D6129064} - System32\Tasks\{FA0E6C78-2779-4C0D-8D26-92D8C0D283D3} => pcalua.exe -a "E:\Metin2 Ravia.eu\uninstall.exe" -d "E:\Metin2 Ravia.eu" Task: {B5D5ABF0-2CEA-459B-AC2E-21ABDCBB1B9B} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {B617C728-DB21-4BFE-9E64-42565E032E46} - System32\Tasks\Open Chrome => Chrome.exe --new-window hxxp://toolbar.avg.com/almost-done?pid=safeguard&lang=pl Task: {D0D23204-06C9-44AD-9F3B-C8BF077382FF} - System32\Tasks\AVG-Secure-Search-Update_1114tb_rmv => C:\Program Files (x86)\AVG Security Toolbar\AVG-Secure-Search-Update_1114tb.exe [2014-11-12] () Task: {D2673AD9-B120-46A5-8458-04E0CD90C8D3} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-11 => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-11.exe Task: {D883BDC1-7888-48E5-9A96-D6B0810B6DCD} - System32\Tasks\{2019024D-F198-4DA7-9033-389ECD7F3641} => pcalua.exe -a "C:\Downloads\The Sims 3 - Movie Stuff\Sims3SP09Setup.exe" -d "C:\Downloads\The Sims 3 - Movie Stuff" Task: {E03EF19D-01E3-4258-A5C4-4058894A2C43} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {EF9B2BA6-DF21-4BAE-AB88-276D167B8B09} - System32\Tasks\{60E44BFB-8202-4687-955D-1776351AFC95} => Chrome.exe hxxp://ui.skype.com/ui/0/6.18.0.106/pl/abandoninstall?page=tsMain Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-1.job => C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-codedownloader.exeȹ/WHlKt /FTjVrg=task /Tslqtz='Plus-HD-V1.5' /sXvLS=59562 /sXpxq='001690' /jAErLa='0' /RsOnpaMiX='0' /gZLMO=CB509E3AE97E4CB49E9B94EF52FF7179IE /eHTOvF=43bc79ed9badaca972434e940073ba96 /UvyZbFWfj=1_34_06_10 /jNWHyHawn=1.34.6.10 /yFIPXHM=1404068259 /QGQNPkKYM=hxxp:/stats.datagenserv.com /gxkGk=hxxp:/errors.datagenserv.com /SqYoDeZx=hxxp:/js.datagenserv.com /MlWHEFwVW=ch /ZnpqwPR=hxxp:/js.clientdemocloud.com /zTlKDOn /lWWiCcsy='{asw:[1, 67108929, 0]}' /gWZbpO='hxxp:/update.datagenserv.com/ie_code_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-11.job => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-11.exe Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-2.job => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-2.exeǞ/bRXuUn /Tslqtz='Plus-HD-V1.5' /sXvLS=59562 /sXpxq='001690' /jAErLa='0' /RsOnpaMiX='0' /gZLMO=CB509E3AE97E4CB49E9B94EF52FF7179IE /eHTOvF=43bc79ed9badaca972434e940073ba96 /UvyZbFWfj=1_34_06_10 /yFIPXHM=1404068259 /QGQNPkKYM=hxxp:/stats.datagenserv.com /gxkGk=hxxp:/errors.datagenserv.com /wNQhIi=11111111-1111-1111-1111-110511951162 /MlWHEFwVW=ch /eeiRG /zTlKDOn /gWZbpO='hxxp:/update.datagenserv.com/ie_enable_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-3.job => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-3.exe Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-4.job => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-4.exeΣ/nnpqzAL /Tslqtz='Plus-HD-V1.5' /psCFJxWE C:\Program Files (x86)\Plus-HD-V1.5\59562.xpi' /sXvLS=59562 /sXpxq='001690' /jAErLa='0' /RsOnpaMiX='0' /gZLMO=CB509E3AE97E4CB49E9B94EF52FF7179IE /eHTOvF=43bc79ed9badaca972434e940073ba96 /UvyZbFWfj=1_34_06_10 /jNWHyHawn=1.34.6.10 /yFIPXHM=1404068259 /QGQNPkKYM=hxxp:/stats.datagenserv.com /gxkGk=hxxp:/errors.datagenserv.com /KHILDCqN=300 /XQgyEst=809710cc-b432-49dc-9140-7828943a0e27@84b67896-5412-4e3f-a6d3-fa7dc6e439e3.com /aiFjXgPBF=0.94 /XlPlpbW=a809710ccb43249dc91407828943a0e2784b6789654124e3fa6d3fa7dc6e439e3com59562 /hAEaKYUOo=hxxps:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/59562.rdf /HASuxAmKm='Plus-HD-V1.5' /XfoJF='Turn YouTube videos to High Definition by default' /BEgWi='Plus-HD-V1.5' /MlWHEFwVW=ch /lWWiCcsy='{asw:[1, 67108929, 0]}' /zTlKDOn /ABIwhz /nzuCxSnaK /gWZbpO='hxxp:/update.datagenserv.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-5.job => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-5.exeȆ/qEVKuN /Tslqtz='Plus-HD-V1.5' /sXvLS=59562 /sXpxq='001690' /jAErLa='0' /RsOnpaMiX='0' /gZLMO=CB509E3AE97E4CB49E9B94EF52FF7179IE /eHTOvF=43bc79ed9badaca972434e940073ba96 /UvyZbFWfj=1_34_06_10 /yFIPXHM=1404068259 /QGQNPkKYM=hxxp:/stats.datagenserv.com /gxkGk=hxxp:/errors.datagenserv.com /MMAHfXhXJ=hxxp:/ipgeoapi.com/ /Lqpjr=hxxp:/update.datagenserv.com /qPTtcuuqI=2 /QCpKW=hxxp:/logs.datagenserv.com /gWZbpO='hxxp:/update.datagenserv.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-6.job => C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-novainstaller.exeȾ/lsApTW /Tslqtz='Plus-HD-V1.5' /sXvLS=59562 /sXpxq='001690' /jAErLa='0' /RsOnpaMiX='0' /gZLMO=CB509E3AE97E4CB49E9B94EF52FF7179IE /eHTOvF=43bc79ed9badaca972434e940073ba96 /UvyZbFWfj=1_34_06_10 /jNWHyHawn=1.34.6.10 /yFIPXHM=1404068259 /QGQNPkKYM=hxxp:/stats.datagenserv.com /gxkGk=hxxp:/errors.datagenserv.com /SqYoDeZx=hxxp:/js.datagenserv.com /MlWHEFwVW=ch /EkgeIU /VtDJGirtN='nova' /ZnpqwPR=hxxp:/js.clientdemocloud.com /lWWiCcsy='{asw:[1, 67108929, 0]}' /FTjVrg=task /gWZbpO='hxxp:/update.datagenserv.com/novacode/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-7.job => C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-nova.exeȨ/Tslqtz='Plus-HD-V1.5' /sXvLS=59562 /sXpxq='001690' /jAErLa='0' /RsOnpaMiX='0' /gZLMO=CB509E3AE97E4CB49E9B94EF52FF7179IE /eHTOvF=43bc79ed9badaca972434e940073ba96 /UvyZbFWfj=1_34_06_10 /jNWHyHawn=1.34.6.10 /yFIPXHM=1404068259 /QGQNPkKYM=hxxp:/stats.datagenserv.com /gxkGk=hxxp:/errors.datagenserv.com /SqYoDeZx=hxxp:/js.datagenserv.com /MlWHEFwVW=ch /EkgeIU /VtDJGirtN='nova' /ZnpqwPR=hxxp:/js.clientdemocloud.com /lWWiCcsy='{asw:[1, 67108929, 0]}' /gWZbpO='hxxp:/update.datagenserv.com/novarun/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\24seven_savings_notification_service.job => C:\Program Files (x86)\24Seven savings\24seven_savings_notification_service.exeǫ/url='hxxp:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='24Seven savings' /appid='73143' /srcid='2913' /bic='e614c8ba626150bfa7aa2ba86d97a1a9' /verifier='1e26a50907f0891a5fb3ced7d3553ecd' /installerversion='1.50.3.10' /statsdomain='hxxp:/stats.buildomserv.com/data.gif?' /errorsdomain='hxxp:/stats.buildomserv.com/data.gif?' /monetizationdomain='hxxp:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\24seven_savings_updating_service.job => C:\Program Files (x86)\24Seven savings\24seven_savings_updating_service.exe° /campid=2913 /verid=1 /url=hxxp:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=24seven_savings_updating_service /funurl=hxxp:/stats.buildomserv.com Task: C:\Windows\Tasks\AVG-Secure-Search-Update_1114tb_rel.job => C:\Program Files (x86)\AVG Security Toolbar\AVG-Secure-Search-Update_1114tb.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_1114tb_rmv.job => C:\Program Files (x86)\AVG Security Toolbar\AVG-Secure-Search-Update_1114tb.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GS_Booster-S-576482620.job => c:\programdata\trusted publisher\gs_booster\GS_Booster.exeO/schedule /profile c:\programdata\trusted publisher\gs_booster\576482620.ini Task: C:\Windows\Tasks\Open Chrome.job => c:\program files (x86)\Google\Chrome\Application\chrome.exeF--new-window hxxp:/toolbar.avg.com/ Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1421683141&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1421683141&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1421683141&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1421683141&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} HKU\S-1-5-21-1225892358-4206154676-1196454770-1005\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} HKU\S-1-5-21-1225892358-4206154676-1196454770-1005\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 HKU\S-1-5-21-1225892358-4206154676-1196454770-1005\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 HKU\S-1-5-21-1225892358-4206154676-1196454770-1005\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1421683141&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1421683141&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13396&tm=413&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchtheglobe.info/?l=1&q={searchTerms}&pid=724&r=2015/01/19&hid=5744862335444074133&lg=EN&cc=PL SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1421683141&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13396&tm=413&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchtheglobe.info/?l=1&q={searchTerms}&pid=724&r=2015/01/19&hid=5744862335444074133&lg=EN&cc=PL SearchScopes: HKU\S-1-5-21-1225892358-4206154676-1196454770-1005 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1225892358-4206154676-1196454770-1005 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={70CAECF0-3693-45EF-A69A-19F5DCC94C51}&mid=a4bcbc0c28e047d29077d16d5b34dac6-f2fca082746ea168f1557c8024f3b2cfe154ff63&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=pr&d=2014-06-23 07:21:30&v=18.8.0.179&pid=safeguard&sg=&sap=dsp&q={searchTerms} BHO: Plus-HD-V1.5 -> {11111111-1111-1111-1111-110511951162} -> C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-bho64.dll => Brak pliku BHO: Linkey -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> C:\Users\user\AppData\Local\Linkey\IEEXTE~1\iedll64.dll => Brak pliku BHO-x32: Plus-HD-V1.5 -> {11111111-1111-1111-1111-110511951162} -> C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-bho.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446905200&z=7b3bc11817e12f1abcfef07g1z3z7q3tfedz0tco3w&from=cornl&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Ja\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-10-11] CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Ja\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software C:\Program Files (x86)\Lenovo C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\BWMiniProB C:\ProgramData\5WdM5 C:\ProgramData\OWdMO C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Mafia II C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty Black Ops 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games\Need For Speed Hot Pursuit 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Enemy Front C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FREE_SOFT_TODAY C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 Ravia.eu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WEOL'14 8.0 C:\Users\Ja\AppData\Local\Lenovo C:\Users\Ja\AppData\Roaming\TSv C:\Users\Ja\AppData\Roaming\WarThunder C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\Tasks\Lenovo C:\Windows\SysWOW64\pl.html Hosts: CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Shortcuts for All Google™ (produkuje przekierowania). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt. PS. Oczywiście odpowiadasz już w nowym poście. Nie edytuj pierwszego.

Był tu uruchamiany Zoek - w jakim celu?, co było robione wcześniej? Jeśli wzorowano się na innym temacie, to błąd, instrukcje są dopasowane tylko i wyłącznie pod jeden system. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Bartosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654950&z=aa3cb2c3b1ddee72781a29dg0zaz3t1q2w2zbtew7g&from=ient07021&uid=WDCXWD7500BPKT-75PK4T0_WD-WXG1A61V7282V7282 ShortcutWithArgument: C:\Users\Bartosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654950&z=aa3cb2c3b1ddee72781a29dg0zaz3t1q2w2zbtew7g&from=ient07021&uid=WDCXWD7500BPKT-75PK4T0_WD-WXG1A61V7282V7282 ShortcutWithArgument: C:\Users\Bartosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654950&z=aa3cb2c3b1ddee72781a29dg0zaz3t1q2w2zbtew7g&from=ient07021&uid=WDCXWD7500BPKT-75PK4T0_WD-WXG1A61V7282V7282 HKU\S-1-5-21-3203632916-3027821125-1821631213-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449654950&z=aa3cb2c3b1ddee72781a29dg0zaz3t1q2w2zbtew7g&from=ient07021&uid=WDCXWD7500BPKT-75PK4T0_WD-WXG1A61V7282V7282 HKU\S-1-5-21-3203632916-3027821125-1821631213-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449654950&z=aa3cb2c3b1ddee72781a29dg0zaz3t1q2w2zbtew7g&from=ient07021&uid=WDCXWD7500BPKT-75PK4T0_WD-WXG1A61V7282V7282 SearchScopes: HKU\S-1-5-21-3203632916-3027821125-1821631213-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654950&z=aa3cb2c3b1ddee72781a29dg0zaz3t1q2w2zbtew7g&from=ient07021&uid=WDCXWD7500BPKT-75PK4T0_WD-WXG1A61V7282V7282&q={searchTerms} SearchScopes: HKU\S-1-5-21-3203632916-3027821125-1821631213-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654950&z=aa3cb2c3b1ddee72781a29dg0zaz3t1q2w2zbtew7g&from=ient07021&uid=WDCXWD7500BPKT-75PK4T0_WD-WXG1A61V7282V7282&q={searchTerms} Task: {1DEF6513-E970-46E0-ADFF-C78DB514E110} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {2A687BEE-3793-4421-980C-FF237DC2D6EB} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {53805748-49A4-484B-B383-2EC893BB8A07} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {60A9E39E-E1EA-4778-8FED-5A9321BD5A89} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {65250972-7D0F-4EF6-9CF2-B94BB24D7474} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {72F3D5FF-32B1-41CE-9977-59364788AE59} - System32\Tasks\{7D635D3B-E945-4E50-891B-413A358F28BD} => pcalua.exe -a C:\Users\Bartosz\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor Task: {7B9B0816-D16A-4994-AC3A-414D8604AAB9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {8469704E-1B87-4253-AD3F-FC1005DEB5DF} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {94E6B3C0-E4B3-4572-B715-D5C78F0E173E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {A7170B76-1273-4448-A760-C41CA5D77825} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {B46503C6-28E4-4E4F-8F4F-240BCC47ABD6} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {C1A859FC-4DC3-46DA-BE20-F54CE2F121A0} - \Lenovo\Lenovo Customer Feedback Program 64 35 -> Brak pliku Task: {DAF5CBFF-5CDB-4CB4-A302-781F9B93C519} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {DB0AE521-8B01-4583-9AEC-82E0311DF111} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe GroupPolicyUsers\S-1-5-21-3203632916-3027821125-1821631213-1007\User: Ograniczenia R3 cpuz138; C:\Users\Bartosz\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [27320 2015-12-11] (CPUID) U3 DfSdkS; Brak ImagePath S3 WsDrvInst; C:\Program Files (x86)\Wondershare\Dr.Fone for Android\DriverInstall.exe [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files\Babylon RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\aWMiniProa RemoveDirectory: C:\ProgramData\3WdM3 RemoveDirectory: C:\ProgramData\WWdMW C:\Program Files (x86)\Ashampoo C:\Program Files (x86)\DrFoneAndroid_Temp C:\Program Files (x86)\Wondershare RemoveDirectory: C:\Users\Bartosz\AppData\Local\id Software RemoveDirectory: C:\Users\Bartosz\AppData\Roaming\eCyber RemoveDirectory: C:\Users\Bartosz\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\Bartosz\AppData\Roaming\TSv RemoveDirectory: C:\Users\Bartosz\AppData\Roaming\yoursearching RemoveDirectory: C:\Users\Bartosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage RemoveDirectory: C:\WINDOWS\System32\Tasks\Lenovo C:\Users\Bartosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\openfm.lnk C:\Users\Bartosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Bartosz\Desktop\Gry\Civ V\Play Civilization V.lnk C:\Users\Bartosz\Desktop\Gry\Civ V\Team Fortress 2.lnk C:\Users\Bartosz\Desktop\Różne\Filmiki\do tworzenia\Pazera Free Audio Extractor.lnk C:\WINDOWS\SysWOW64\data.bin EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Dawid, wejdź w podany link i przeczytaj co jest napisane o aktualizacji Internet Explorer oraz co jest podane dla systemu Vista. Aktualizacja IE jest ważna, mimo że w ogóle nie korzystasz z tej przeglądarki, bo jej komponenty są i tak używane przez aplikacje posiłkujące się silnikiem IE. Podałam też, że obecnie Twój system to Vista SP1 - brakuje kupy aktualizacji: pakiet SP2 i masa innych łat (chyba kilkaset pozycji będzie). Masz do wykonania kompleksową aktualizację systemu z Windows Update. Rundy z wyszukiwaniem i instalacją aktualizacji należy powtarzać tyle razy, aż Windows Update zwróci komunikat, że brak już dostępnych aktualizacji.

Ale podany Fix FRST nadal aktualny (robiony w oparciu o najnowsze raporty, a nie stare). Przedstaw wynikowy fixlog.txt.

DigiBen, zadałam określoną kolejność, nie do robienia "na wyrywki". Najpierw miał być usunięty crack, bo w przypadku niemożności zrobienia tego (rezultat z niemożnością logowania do Windows) reszta akcji traci zasadność.

Wszystkie kopie Windows Defender są uszkodzone, a uszkodzenie wyląda na ingerencję malware (pliki mają atrybut ukryty). Podmiana plików musi się odbyć z zewnątrz, nie spod Windows, by obejść problem uprawnień Akcja: 1. Przesyłam plik Windows Defender: KLIK. Rozpakuj, folder przenieś wprost na C:\, czyli ma być dostępna taka oto ścieżka: C:\Pliki zawierająca bibliotekę MpSvc.dll. Otwórz Notatnik i wklej w nim: CMD: copy /y C:\Pliki\MpSvc.dll C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.1.7600.16385_none_579306edb982ae36\MpSvc.dll CMD: copy /y C:\Pliki\MpSvc.dll C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.1.7601.17514_none_59c41ab5b67131d0\MpSvc.dll CMD: copy /y C:\Pliki\MpSvc.dll "C:\Program Files\Windows Defender\MpSvc.dll" Plik zapisz pod nazwą fixlist.txt. Plik ten razem z FRST przenieś wprost na C:\. 2. F8 przy starcie komputera > Napraw komputer > Wiersz polecenia > uruchom zodnie z instrukcją FRST: KLIK. Kliknij w Napraw (Fix). Na C:\ powstanie fixlog.txt. 3. Zaloguj się z powrotem do Windows i przedstaw w/w log.