picasso

Oh, jakoś ze zmęczenia przeoczyłam, że AdwCleaner wykrył i usunął jakieś dwa pliki osobiste - czy to było coś ważnego? [-] Plik usunięto : D:\Dokumenty\Iwona i Grzesiek.doc [-] Plik usunięto : D:\Dokumenty\Iwona_uzasadnienie.pdf A DelFix nie wykazuje, by cokolwiek robił. Ale w tym przypadku, jeśli go uruchomiłeś tylko raz, to akurat dobrze się złożyło, bo na dysku ciągle jest folder C:\AdwCleaner ze skasowanymi w/w plikami dający sznsę ich odzysku. No chyba, że DelFix uruchomiono więcej niż raz...

Operacje do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj REACHit Lenovo. To przypuszczalnie była niechciana przymusowa instalacja. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Martyna\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) ShortcutWithArgument: C:\Users\Martyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH ShortcutWithArgument: C:\Users\Martyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446652810&z=718b202b9de16d61dadb4ddgez1zdq9q4w7o3w2c6w&from=cor&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} HKU\S-1-5-21-2990691196-1889282507-3086637898-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH HKU\S-1-5-21-2990691196-1889282507-3086637898-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} SearchScopes: HKU\S-1-5-21-2990691196-1889282507-3086637898-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} Task: {43BFE57B-1A61-4AFA-B93A-D19DC7EF1ABA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {EF1597A4-4ECA-402E-944B-76D8B54F456E} - System32\Tasks\BacKGroundAgent => C:\Program Files (x86)\Acer\AOP Framework\BackgroundAgent.exe HKU\S-1-5-18\...\Run: [abDocsDllLoader] => C:\Program Files (x86)\Acer\abDocs\abDocsDllLoaderMonitor.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DisableService: Orange Connection. RunOuc RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\ProgramData\7WMiniPro7 RemoveDirectory: C:\ProgramData\8WMiniPro8 RemoveDirectory: C:\ProgramData\UWdMU RemoveDirectory: C:\Users\Martyna\AppData\Local\Google RemoveDirectory: C:\Users\Martyna\AppData\Local\Lenovo RemoveDirectory: C:\Users\Martyna\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\Martyna\AppData\Roaming\TSv RemoveDirectory: C:\Windows\System32\Tasks\Lenovo CMD: del /q C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

luckyskill, proszę nie podbijaj tematu. Odpowiadam gdy jestem w stanie. Brak odpowiedzi = nie mam możliwości czasowych. Rozejrzyj się co się dzieje w dziale, a jestem jedyną osobą do pomocy. Odpowiem w Twoim temacie, gdy będę do tego zdolna. PS. Tylko od razu sprecyzuj jaka jest ścieżka do tego folderu:

Czy na pewno został wykonany wcześniej ten krok w Google Chrome: Chodziło o Opcję 2. Wprawdzie niby wpisy adware już nie były widoczne poprzednio w nowym skanie FRST, a tu raptem AdwCleaner znów je pokazuje. Wnioski: wracają z serwera Google.

Skrypty FRST są jednorazowego użytku i nie przetworzą ponownie tego samego. Co tu się działo i dlaczego Fix uruchomiony aż trzy razy?! Poproszę o najważnieszy Fixlog z pierwszego uruchomienia. Wejdź do folderu C:\FRST\Logs i wyszukaj najstarszy plik Fixlog_data_czas+txt.

Problem rozwiązany, wszystko wykonane, ale jeszcze poprawki: 1. Otwórz Notatnik i wklej w nim: S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X] S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\Program Files (x86)\SFK CMD: del /q C:\spyhunter.fix CMD: del /q C:\WINDOWS\SysWOW64\pl.html CMD: del /q C:\WINDOWS\SysWOW64\sh4native.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wprawdzie uzupełniłeś log FRST, ale przecież podany Fixlog nie pochodzi ode mnie! To jest jakiś kiepski skrypt na pół gwizdka zrobiony przez kogoś innego i ma się nijak do tego co ja zadałam. Nic nie zostało wykonane (poza Zoek) z tego co poleciłam. Powtarzaj zadania które podałam ja.

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze tematy. Wydzielone w osobny. Ponadto, niepełny zestaw obowiązkowych logów, brak FRST Shortcut. Proszę wrócić do konfiguracji i uzupełnić brak: KLIK.

Operacje do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Reader 9.1 - Polish, Java 7 Update 75, Java 8 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Zbigniew\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\ZWdMZ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S1 tcfd_vt_1_10_0_24; system32\drivers\tcfd_vt_1_10_0_24.sys [X] ShortcutWithArgument: C:\Users\Zbigniew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft WSE 3.0\WSE on the Web.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 ShortcutWithArgument: C:\Users\Zbigniew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 ShortcutWithArgument: C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 ShortcutWithArgument: C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 ShortcutWithArgument: C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 ShortcutWithArgument: C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 ShortcutWithArgument: C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1444060415&z=d8a8cb95ff410f3fb7e296cgczfz4z9e5qeeao2edm&from=cor&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447327649&z=6820463b20cf14770caee9bgcz5z5mbcao9m0qazfc&from=wpm07163&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447327649&z=6820463b20cf14770caee9bgcz5z5mbcao9m0qazfc&from=wpm07163&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447327649&z=6820463b20cf14770caee9bgcz5z5mbcao9m0qazfc&from=wpm07163&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447327649&z=6820463b20cf14770caee9bgcz5z5mbcao9m0qazfc&from=wpm07163&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041&q={searchTerms} HKU\S-1-5-21-783652867-2950568372-415723759-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.wp.pl={searchTerms} HKU\S-1-5-21-783652867-2950568372-415723759-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.wp.pl/ SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-783652867-2950568372-415723759-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-783652867-2950568372-415723759-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku Toolbar: HKU\S-1-5-21-783652867-2950568372-415723759-1001 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Zbigniew\AppData\Roaming\Mozilla\Firefox\Profiles\dfi2ayg4.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Zbigniew\AppData\Roaming\Mozilla\Firefox\Profiles\dfi2ayg4.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Zbigniew\AppData\Roaming\Mozilla\Firefox\Profiles\dfi2ayg4.default\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Zbigniew\AppData\Roaming\Mozilla\Firefox\Profiles\dfi2ayg4.default\extensions\yahooprotected@gmail.com => nie znaleziono Task: {F460B39B-2EE8-4FF8-A32C-8517493A9A55} - System32\Tasks\{E4427224-3079-400E-8AFA-269F2729D808} => pcalua.exe -a C:\Users\Zbigniew\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cor DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\7WdM7 RemoveDirectory: C:\ProgramData\JWMiniProJ RemoveDirectory: C:\ProgramData\WWMiniProW RemoveDirectory: C:\ProgramData\ZWdMZ RemoveDirectory: C:\Users\Zbigniew\AppData\Roaming\TSv CMD: del /q C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\*.lnk" CMD: del /q "C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk" CMD: del /q "C:\Users\Zbigniew\Documents\Umowa Licencyjna.lnk" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Dzięki za Upload. Wszystkie akcje pomyślnie wykonane, problemy podstawowe rozwiązane. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Co konkretnie robiłeś w międzyczasie? Jest zasadnicza różnica między poprzednimi logami, a nowymi. Zniknęły tytułowe przekierowania. Czyli tylko kosmetyczne działania: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\Users\Ewa_Rafał\AppData\Roaming\IEDJ C:\Users\Ewa_Rafał\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.

Wszystko wykonane. Będą jeszcze drobne poprawki. Teraz: Pobierz najnowszy AdwCleaner. Uruchom, wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Posty skleiłam dla porządku, ale oczywiście już odpowiadasz mi w nowym poście. Akcje do wykonania: 1. Deinstalacje: - Odinstaluj: LG Smart Share Packages, Pokki, Start Menu, SHAREit, Spybot - Search & Destroy. Aplikacje grupy "Pokki" (Pokki, Start Menu) integrowane na Lenovo mają marną reputację. A Spybot to przestarzały program. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\6WdM6\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 ShortcutWithArgument: C:\Users\Lukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 ShortcutWithArgument: C:\Users\Lukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 ShortcutWithArgument: C:\Users\Lukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 Edge HomeButtonPage: HKU\S-1-5-21-2838334835-2901256660-1012575049-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865&q={searchTerms} HKU\S-1-5-21-2838334835-2901256660-1012575049-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 HKU\S-1-5-21-2838334835-2901256660-1012575049-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865&q={searchTerms} SearchScopes: HKU\S-1-5-21-2838334835-2901256660-1012575049-1001 -> {7A10A81D-8DAE-4E41-9A7D-18FFBEF34CB2} URL = HKU\S-1-5-21-2838334835-2901256660-1012575049-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe Task: {0B7D7B4E-8AAA-4D24-B832-71E510DDDF42} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {12E9E5DD-8DDF-4A01-97D1-41CD064AE56B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {194317C4-5313-4128-940B-64F409530915} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {2624AEE8-B78A-48BC-9242-2A87CAB39AED} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe Task: {39F364E5-DB70-4395-A2DE-82C64F96733B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-07-06] (Lenovo) Task: {4594CA86-088F-469E-9055-D7CECAAE8A52} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {74B51CB0-6BC7-4E85-8E1D-056C7FA709D6} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {7A8E2312-EEA1-4BB5-9D72-5390EB272B6A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8FE11094-3CE1-4834-881A-0CB6AC5DC8C9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {9A1CB3D9-5C07-44C1-9622-93AA00BC0221} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {B86D1289-5232-4E8C-9CE3-42C9A5E094C8} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E7FA493F-7554-4DB6-9D63-831583A5432D} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {E89A42C8-4421-479B-95CC-717605E11847} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\AdwCleaner RemoweDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\ProgramData\6WdM6 RemoveDirectory: C:\ProgramData\pWdMp RemoveDirectory: C:\ProgramData\PC Tools RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Lukasz\AppData\Roaming\TestApp RemoveDirectory: C:\Users\Lukasz\Desktop\Stare dane programu Firefox CMD: del /q "C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk" CMD: del /q C:\WINDOWS\SysWOW64\data.bin CMD: del /q C:\WINDOWS\system32\Drivers\EsgScanner.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź także, że problem ustąpił w przeglądarce Edge.

Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\9WdM9\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\MOJE PROGRAMY\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Wars - The Old Republic.lnk -> C:\MOJE PROGRAMY\GRY\Star Wars-The Old Republic\launcher.exe (BioWare) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\cdp.pl\Wiedźmin 2 Edycja Rozszerzona\Wiedźmin 2 Edycja Rozszerzona.lnk -> C:\MOJE PROGRAMY\GRY\The Witcher 2\Launcher.exe (CD Projekt RED) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\MOJE PROGRAMY\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} HKU\S-1-5-21-1946394690-2169185729-783039975-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT HKU\S-1-5-21-1946394690-2169185729-783039975-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT HKU\S-1-5-21-1946394690-2169185729-783039975-1001\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://g.uk.msn.com/HPALL13/175 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} SearchScopes: HKU\S-1-5-21-1946394690-2169185729-783039975-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku Task: {0A4AD910-57A4-42DA-A1EA-5381444E955C} - System32\Tasks\a2zLyrics-1-enabler => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-enabler.exe Task: {19433B98-193A-43F1-8F28-89CE4EF2FE4F} - System32\Tasks\{19EA5E08-BE20-4D2C-B559-C0B4056848D9} => pcalua.exe -a "C:\Moje programy\ARC\Arc\ArcLauncher.exe" Task: {1FBE0AC9-DFC0-40C2-9F8D-A9B495A581B5} - System32\Tasks\a2zLyrics-1-codedownloader => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-codedownloader.exe Task: {2340A46D-2DDA-41C3-9D6F-7B67BF3C81BC} - System32\Tasks\a2zLyrics-1-chromeinstaller => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-chromeinstaller.exe Task: {3E28F3B5-AD26-4B4A-A5CF-86D5A861236F} - System32\Tasks\{471D7365-89FC-444E-A561-83FE84D4BA1F} => pcalua.exe -a "C:\Moje programy\GRY\Perfect World\Arc\ArcLauncher.exe" -d "C:\Moje programy\GRY\Perfect World\Arc" Task: {41FC95AC-AD6C-4C40-8F53-F15E054208CC} - System32\Tasks\{E9E77933-D9E0-4116-99B4-A5D3E68F7D8B} => pcalua.exe -a "C:\Moje programy\ARC\Arc\ArcLauncher.exe" -d C:\Users\Damian\Desktop Task: {55722322-E306-4C39-9001-9DA5EF0254F4} - System32\Tasks\{665920AB-4D95-4A17-9361-17AA0C1E06D1} => pcalua.exe -a E:\start.exe -d E:\ -c /s Task: {B33ABFDF-05D3-4702-8926-310BEEF5082F} - System32\Tasks\a2zLyrics-1-updater => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-updater.exe Task: {BDBF377A-A20B-4CDA-A44B-E1D32F6B9088} - System32\Tasks\a2zLyrics-1-firefoxinstaller => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-firefoxinstaller.exe Task: {C97F6C9C-4965-47B7-B8B4-145DA360030F} - System32\Tasks\{4AB81A8E-3AA6-45D4-BD2D-AF6ED5F505F3} => pcalua.exe -a "C:\Moje programy\GRY\SCDA\SCDALauncher.exe" -d "C:\Moje programy\GRY\SCDA" Task: C:\WINDOWS\Tasks\a2zLyrics-1-chromeinstaller.job => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-chromeinstaller.exȅ/installcrx /agentregpath='a2zLyrics-1' /extensionfilepath C:\Program Files (x86)\a2zLyrics-1\41554.crx' /appid=41554 /srcid='000378' /subid='0' /zdata='0' /bic=5EF77779EAD040729587AA1F125DB40EIE /verifier=1f2ed37eeb5f7349fa2ce96ce7e0be7f /installerversion=1_28_153 /installerfullversion=1.28.153.3 /installationtime=1379924937 /statsdomain=hxxp:/stats.ourstatssrv.com /errorsdomain=hxxp:/errors.ourstatssrv.com Task: C:\WINDOWS\Tasks\a2zLyrics-1-codedownloader.job => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-codedownloader.exeƮ/reinstallapp /agentregpath='a2zLyrics-1' /appid=41554 /srcid='000378' /subid='0' /zdata='0' /bic=5EF77779EAD040729587AA1F125DB40EIE /verifier=1f2ed37eeb5f7349fa2ce96ce7e0be7f /installerversion=1_28_153 /installerfullversion=1.28.153.3 /installationtime=1379924937 /statsdomain=hxxp:/stats.ourstatssrv.com /errorsdomain=hxxp:/errors.ourstatssrv.com /codedownloaddomain=hxxp:/app-static.crossrider.com Task: C:\WINDOWS\Tasks\a2zLyrics-1-enabler.job => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-enabler.exeƃ/enablebho /agentregpath='a2zLyrics-1' /appid=41554 /srcid='000378' /subid='0' /zdata='0' /bic=5EF77779EAD040729587AA1F125DB40EIE /verifier=1f2ed37eeb5f7349fa2ce96ce7e0be7f /installerversion=1_28_153 /installationtime=1379924937 /statsdomain=hxxp:/stats.ourstatssrv.com /errorsdomain=hxxp:/errors.ourstatssrv.com Task: C:\WINDOWS\Tasks\a2zLyrics-1-firefoxinstaller.job => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-firefoxinstaller.exe˨/installxpi /agentregpath='a2zLyrics-1' /extensionfilepath C:\Program Files (x86)\a2zLyrics-1\41554.xpi' /appid=41554 /srcid='000378' /subid='0' /zdata='0' /bic=5EF77779EAD040729587AA1F125DB40EIE /verifier=1f2ed37eeb5f7349fa2ce96ce7e0be7f /installerversion=1_28_153 /installerfullversion=1.28.153.3 /installationtime=1379924937 /statsdomain=hxxp:/stats.ourstatssrv.com /errorsdomain=hxxp:/errors.ourstatssrv.com /waitforbrowser=300 /extensionid=536c2ac1-a17c-4de1-a3f2-1b869a3be96c@2f6608a0-8c65-4bfe-8e2f-c65b5cc757cb.com /extensionversion=0.92 /prefsbranch=a536c2ac1a17c4de1a3f21b869a3be96c2f6608a08c654bfe8e2fc65b5cc757cbcom41554 /updateurl=hxxps:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/41554.rdf Task: C:\WINDOWS\Tasks\a2zLyrics-1-updater.job => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-updater.exeǥ/runupdater /agentregpath='a2zLyrics-1' /appid=41554 /srcid='000378' /subid='0' /zdata='0' /bic=5EF77779EAD040729587AA1F125DB40EIE /verifier=1f2ed37eeb5f7349fa2ce96ce7e0be7f /installerversion=1_28_153 /installationtime=1379924937 /statsdomain=hxxp:/stats.ourstatssrv.com /errorsdomain=hxxp:/errors.ourstatssrv.com /monetizationdomain=hxxp:/stats.syncstatsdata.com /geoserviceurl=hxxp:/ipgeoapi.com/ /updatejsondomain=hxxp:/update.ourstatssrv.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\9WdM9 RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{99F36FBA-8477-43D6-A933-EB11D377FF3B} CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Neverwinter Nights 2\Moduły\Wrota Zachodu\Linki internetowe\Odwiedź witrynę pomocy technicznej Atari.lnk" CMD: del /q C:\Users\Damian\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Są tu dwie sprawy: - Na pendrive grasowała infekcja Gamarue, więcej na jej temat: KLIK. Wszystkie dane są, tylko w ukrytym folderze "bez nazwy", nie widzisz go, bo nie masz skonfigurowanej opcji Ukryj chronione pliki systemu operacyjnego. Moim zadaniem będzie uwidocznienie danych. - System nie jest zainfekowany powyższym robakiem, ale za to są instalacje adware. Nabyte m.in. z dobrychproramów: KLIK. Działania do wykonania: 1. Odinstaluj adware/PUP: AVG SafeGuard by Ask, DarkEra (to fałszywka udająca grę o podobnej nazwie), McAfee Security Scan Plus. 2. Zakładam, że pendrive jest nadal zmapowany pod literą G, w przeciwnym wypadku skrypt nie zadziała. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdsManPro; C:\ProgramData\UWMiniProU\WMiniPro.exe [301704 2015-11-06] (DTools LIMITED) S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U3 kxddrfow; \??\C:\Users\Grzesiek\AppData\Local\Temp\kxddrfow.sys [X] Task: {EEDC56E2-F112-4D51-AA4E-A5B1BEB1769D} - System32\Tasks\{D226DD92-96AF-4342-A7BC-45C73A45E931} => pcalua.exe -a C:\Users\Grzesiek\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor CHR HomePage: Default -> search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> hxxp://www.istartsurf.com/web/?type=ds&ts=1446807618&z=c5da6eb25f35d2a9ea696ccg5z4z9q6beeam3cacfw&from=cor&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E309661796617&q={searchTerms} CHR HKLM\...\Chrome\Extension: [aaaacnnimempmlomnnhdkimkfahjplfp] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaacnnimempmlomnnhdkimkfahjplfp.crx [2015-11-12] CHR HKLM\...\Chrome\Extension: [aaaadbkccgigjdmfmdhgikcckicldhjb] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaadbkccgigjdmfmdhgikcckicldhjb.crx [2015-11-12] CHR HKLM-x32\...\Chrome\Extension: [aaaacnnimempmlomnnhdkimkfahjplfp] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaacnnimempmlomnnhdkimkfahjplfp.crx [2015-11-12] CHR HKLM-x32\...\Chrome\Extension: [aaaadbkccgigjdmfmdhgikcckicldhjb] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaadbkccgigjdmfmdhgikcckicldhjb.crx [2015-11-12] FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\8cpzhtq8.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\8cpzhtq8.default\extensions\deskCutv2@gmail.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446807618&z=c5da6eb25f35d2a9ea696ccg5z4z9q6beeam3cacfw&from=cor&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E309661796617 SearchScopes: HKU\S-1-5-21-542395769-2740874246-3797253982-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\mntemp C:\ProgramData\Trend Micro C:\ProgramData\UWMiniProU C:\Users\Default User\AppData\Roaming\TuneUp Software C:\Users\Grzesiek\AppData\Roaming\DarkEra C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkEra.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DarkEra.lnk C:\Users\Grzesiek\Downloads\*-dp*.exe G:\Removable Drive (8GB).lnk CMD: attrib /d /s -s -h G:\* Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Jeśli skrypt pomyślnie wykona komendy na pendrive, zobaczysz folder "bez nazwy". Wejdź do niego i przenieś poziom wyżej wszystkie swoje dane. Następnie pusty już folder "bez nazwy" skasuj przez SHIFT+DEL (omija Kosz). 4. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, log USBFix z opcji Listing - nie zaznaczaj rekursywnego skanu jak to wcześniej zrobiłeś, nie potrzebuję tak obszaernego skanu. Dołącz też plik fixlog.txt.

Wszystko pomyślnie wykonane. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. W powyższym linku jest też spis aplikacji i ich najnowszych wersji. Uzupełnij co potrzebujesz. 3. Zainstaluj nowoczesnego antywirusa. Przykładowe dobre darmowe propozycje: Avast, Panda Free Antivirus. 4. I poczytaj o tym w jaki sposów tego typu śmieci adware dostają się do systemu: KLIK.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Proszę wrócić do konfiguracji FRST i uzupełnić brakujący plik: KLIK.

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki, wydzieliłam w osobny temat. I czytałaś wcześniejsze komentarze niedokładnie. Przecież "ten plik" robi osoba która ma w jednym palcu Windows (w tym przypadku ja) w oparciu o raporty z danego systemu. I pod każdym skryptem FRST jest napisane, że jest unikatowy dla danego systemu: plik pasuje tylko i wyłącznie do jednego systemu, nie wolno go używać na innych systemach i tak nie zrobi nic, a jeszcze może uszkodzić system. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] ShortcutWithArgument: C:\Documents and Settings\komputer\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT ShortcutWithArgument: C:\Documents and Settings\komputer\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT ShortcutWithArgument: C:\Documents and Settings\komputer\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT&q={searchTerms} HKU\S-1-5-21-515967899-1336601894-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT HKU\S-1-5-21-515967899-1336601894-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT&q={searchTerms} HKU\S-1-5-21-515967899-1336601894-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT HKU\S-1-5-21-515967899-1336601894-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT&q={searchTerms} FF HKLM\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files\Hewlett-Packard\SmartPrint\QPExtension FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\4whq28zt.default-1424354612578\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\4whq28zt.default-1424354612578\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\4whq28zt.default-1424354612578\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\4whq28zt.default-1424354612578\extensions\yahooprotected@gmail.com => nie znaleziono BHO: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\FWMiniProF RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\SWdMS RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\yWdMy RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\YTD Video Downloader RemoveDirectory: C:\Documents and Settings\komputer\Dane aplikacji\TSv RemoveDirectory: C:\Program Files\SFK CMD: del /q "C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat" CMD: del /q "C:\Documents and Settings\komputer\SendTo\Android (ALLPlayer Pilot).lnk" CMD: del /q "C:\Documents and Settings\komputer\Pulpit\Skrót do speed.lnk" CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W systemie jest okropnie stary IE6 i nalewży go zaktualizować, mimo używania innej przeglądarki. Zainstaluj IR8: KLIK. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Nie. Przecież widać w skrypcie dokładnie co jest przetwarzane. Brakuje nowego głównego skanu FRST.txt, a podany plik Addition.txt jest pusty. Zrób nowe logi.

Fix FRST pomyślnie wykonany. Czy na pewno użyłeś automatyczne narzędzie Fix-it, a nie ręczne tworzenie skryptu VBS w Notatniku?

Wprawdzie prawie wszystko zrobione (będzie do usunięcia pozostałość po SpyHunter), ale problem z WMI nie rozwiązany. Na dodatek wygląda na to, że ten system jest zupełnie pozbawiony wbudowanego Windows Defender. To nie jest normalna sytuacja. Pytaniem zasadniczym jest więc z jakiego nośnika instalowano Windows 8.1, czy przypadkiem nie była to "produkcja z torrent"?

Kończymy: 1. Uruchom AdwCleaner ponownie, tym razem wybbierz sekwencję Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. W w/w temacie są także linki do najnowszych wersji programów.

Ta deinstalacja odbyła się niestety w niepoprawnej kolejności, choć wszystko od Firefox usunięte. I kolejne poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Wow6432Node\AppDataLow\SOFTWARE\Crossrider DeleteKey: HKLM\SOFTWARE\Wow6432Node\do-searchSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{AD11DADE-C597-45D9-D8C5-1D2EB0B89613} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4ce02b50-a79a-44a5-9cad-4dd8ac3a2331} DeleteKey: HKLM\SOFTWARE\Wow6432Node\aa8af109-dbaa-496a-9aef-da505badc7a1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{99DCF141-03F9-4363-8D79-640FA646DEED} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3AF4400F-CDC5-4F2D-B3F1-74348E5D5CCC} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{422E1393-7A4C-44FF-A7E1-8B9D146E0666} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4807D6D8-ADC8-41AF-AB9D-AE1086D1E62F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6E1CD171-29C1-4D56-A223-E31C57A0A25A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{70E96298-17FC-4020-A7CF-6F81ED8CF3AB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{84A81B7E-B8CD-4891-BEA0-548D65E9610A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{867DF9A9-D013-4A1A-B685-DFF65D225ED4} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{889074FC-1456-4CE8-88F7-154264DC275F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91F4CF02-F675-4E6A-B4E8-C13DF09B9B1B} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A902A36E-0C79-4BD7-B561-9C058BD60210} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AB778974-218E-4734-90F0-731BE7E50E77} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{ADE6A9C0-12B3-457D-9A86-548FA87E04DB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B7C67027-15EB-489F-A9EA-286076CF7540} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{CDB98856-BEA3-4073-AF57-23A3583AE9E4} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{CDED8922-BB3D-4E3A-9C2C-89B1C927F48B} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D79CBD8E-D857-4D05-B3AD-26F722CF5B6E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E7EA7058-B19B-4A27-B50A-87A1B8FC5F30} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0EE6D408-6ED5-40C6-8C42-A041D5DE9AB0} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{13A42355-1F94-4459-B19E-F60B2C607C77} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{293DD661-C540-4AC4-9B4C-42E68369CE1B} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{2EC58BDB-0694-4D54-80DD-A8F2AA0427A1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{313B508D-596D-4BDF-B0B5-E41F224E184A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A8F7D0A5-7074-40B8-9BDC-1174BDD0A132} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D14D64BC-A0E4-42E3-BB72-FB41EA43C198} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{DD1F043F-ABC8-4643-8B95-D2C5B22BB019} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E3F3E8F9-F747-4DD6-BA6B-82A6CE1E0860} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{ED0B64D4-BF27-4521-AD27-190F49BF5EA7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{023E9EC8-B147-40EB-B0B3-DF90618FB371} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0522D9A4-4D57-437D-978D-E5B3B6C9005D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{07F41522-AF7D-4F26-B394-094F059FDB8A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0C40F472-7407-4467-8914-1DEA7C326972} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{212E6D43-6062-492A-B8CC-144669FF11ED} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{224FE662-1E6D-4BC0-AEBB-9E2FB4057BE9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3A807417-B46D-4D37-8C9A-19AC6DE204F9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3CC60715-D6C5-429D-830E-43FA3F86C61D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4517D94C-19BA-46FA-BE66-2A30CEAC4A85} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{555D7146-94A8-4C94-AE76-C39CDC7F7705} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{59D188FA-757A-424E-8C93-F58FFD896BD7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{8120D9D6-785C-4413-9C0C-DF2028C56FAD} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{823AE2EB-E62C-4847-B192-C99B91B92416} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9B4F7CFE-987D-410E-A8E4-20182E0B3C24} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9B9A45F4-18FC-484A-BACA-076D78273D8E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A6D54287-7939-466A-8579-92546D946C8C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A78EDAFB-926F-4D93-AB13-8232D7378EB1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\MIME\Database\Content Type\application/x-vnd.ssliveupdate.oneclickctrl.9 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\MIME\Database\Content Type\application/x-vnd.ssliveupdate.update3webcontrol.3 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{A18D16ED-27B2-4B83-B70C-15E73F099546} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{BEE7E029-5037-4DAD-A2DB-82E397AB1A44} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4ce02b50-a79a-44a5-9cad-4dd8ac3a2331} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B} DeleteKey: HKU\S-1-5-18\Software\AppDataLow\Software\_CrossriderRegNamePlaceHolder_ DeleteKey: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\_CrossriderRegNamePlaceHolder_ DeleteKey: HKU\S-1-5-19\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B} DeleteKey: HKU\S-1-5-20\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B} DeleteKey: HKU\S-1-5-21-3791551304-1605642030-3926548003-1003\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B} RemoveDirectory: C:\ProgramData\6WMiniPro6 RemoveDirectory: C:\Users\Asia\AppData\Local\Comodo RemoveDirectory: C:\Users\Asia\AppData\Local\Google\Chrome SxS RemoveDirectory: C:\Users\Asia\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\UpdatusUser\AppData\Local\Comodo RemoveDirectory: C:\Users\UpdatusUser\AppData\Local\Google CMD: del /q "C:\Users\Asia\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\bmnlcjabgnpnenekpadlanbbkooimhnj" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Delfix zrobił co należy. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Wszystko pomyślnie wykonane. Problem powinien ustąpić. Ale jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.