picasso

Czy dobrze rozumiem, że nie da się włączyć Przywracania systemu w: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznaczyć dysk C > Konfiguruj > zaznaczyć Przywróć ustawienia systemu oraz poprzednie wersje plików? Występuje jakiś konkretny błąd podczas tej akcji?

Sprecyzuj po pobraniu którego z pliku, instalatora Java czy deinstalatora Java? A komunikat wygląda na związany z JavaScript a nie Java. I jeśli cokolwiek było wykonywane, to poproszę o nowy log FRST z opcji Skanuj (Scan), włącznie z pliiem Addition.

Nie wygląda na to, by sfc skierowany na plik Windows Defender go naprawił. Poproszę o spis kopii pliku. Uruchom FRST, w polu Szukaj wklep mpsvc.dll, klik w Szukaj plików i dostarcz wynikowy log.

Temat zamykam. Jeśli ktoś inny będzie potrzebował pomocy z tą infekcją (w zakresie doczyszczania plików infekcji), proszę założyć nowy temat zgodnie z zasadami: KLIK.

Nie zaznaczyłeś pola Shortcut w oknie FRST, dlatego nie utworzył się. Te znaleziska AdwCleaner nie są powiązane, to tylko drobne szczątki adware. AdwCleaner to nie jest program do czyszczenia trojanów, adresuje tylko i wyłącznie typ adware i PUP. W systemie widać jakąś infekcję, w trzech miejscach: w katalogu Startup (ATIODE.url kierujący do ATIODE.exe) oraz dwa zadania w Harmonogramie (Security Update Checker + Virtual Disk Service Manager). Infekcja jest czynna (załadowany proces ATIODE.exe, notowany też jako podejrzany w GMER). Prawdopodobnie nabyłeś ją z jakiegoś cracka, bo widzę że była conajmniej jedna "kombinacja" tego typu. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: InternetURL: C:\Users\lucky\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ATIODE.url -> file:///C:\Users\lucky\AppData\Roaming\Microsoft\ATIODE.exe Task: {25F81A29-F1E7-430E-B1BD-CA2B1074A35F} - System32\Tasks\Virtual Disk Service Manager => C:\Users\lucky\AppData\Roaming\TS3Client\MSSvc\mssvc.exe Task: {7BEAB4D9-CE36-4D0F-BE1D-042A8331893A} - System32\Tasks\Driver Booster SkipUAC (lucky) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {E71B6B39-0F70-4C16-B860-C6F5002CD766} - System32\Tasks\Updates\Security Update Checker => C:\Users\lucky\AppData\Roaming\Microsoft\SysHex.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Updates CHR HKU\S-1-5-21-823081088-4079517195-30393728-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx BootExecute: autocheck autochk * C:\ProgramData\ddf2c5aa08022b15bbf75cb48d8afde6fd92b21c C:\Users\lucky\AppData\Local\Opera Software C:\Users\lucky\AppData\Roaming\Opera Software C:\Users\lucky\AppData\Roaming\services C:\Users\lucky\AppData\Roaming\Microsoft\*.exe C:\Users\lucky\Downloads\IOBit Driver Booster Pro 3.1.0.332 + Crack [s0ft4PC] C:\WINDOWS\Tasks\ImCleanDisabled C:\Windows\System32\Tasks\Updates Folder: C:\Users\lucky\AppData\Roaming\TS3Client CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z zaległym Shortcut. Dołącz też plik fixlog.txt.

Potrzebuję nowe raporty po wykonaniu wszystkich operacji, by wiedzieć co wykonano, a zajmę się wtedy przywracaniem zakładek.

To co wykrył MBAM to nieaktywne szczątki adware. Po prostu usuń za pomocą programu. W raportach nie widać oznak czynnej infekcji. Do wykonania tylko drobna kosmetyka wpisów pustych i czyszczenie Tempów oraz inne poboczne działania: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Reader X (10.1.13) MUI, Java 7 Update 71, Vtune 7.12. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () S2 Crypkey License; crypserv.exe [X] S2 TBPanel; Brak ImagePath S1 NetworkX; \SystemRoot\system32\ckldrv.sys [X] S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] U2 V2iMount; Brak ImagePath S2 vstor2; \??\C:\Program Files (x86)\Common Files\VMware\VMware Virtual Image Editing\vstor2.sys [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3608490240-1868706990-1820016235-1000\...\MountPoints2: {6ebf6d1e-aaec-11e4-8fa3-5404a67e773e} - G:\Autorun.exe Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku DPF: HKLM {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab Task: {336DCA45-C8D8-494C-B029-0C18001EF4DD} - System32\Tasks\{EC22CC1D-285E-47E1-B1F4-B67C16AE3B25} => pcalua.exe -a "C:\Users\Tata\Downloads\WinRARSDM (1).exe" -d C:\Users\Tata\Downloads Task: {C60B6348-8BFA-46DD-9BFE-46958FF6369C} - System32\Tasks\{D151405C-D82B-48C5-8A17-4DC5206F8106} => pcalua.exe -a F:\Setup.exe -d F:\ Task: {CD476D4D-9900-4B06-9B4F-91477EF8113D} - System32\Tasks\{3B942F5C-57DE-4D75-A8D8-34558D243596} => Chrome.exe hxxp://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar Task: {F697D657-973A-4018-B02C-5B850CCB9C05} - System32\Tasks\{EA0E78E4-F0B8-4979-A4F2-9A5C3BC13907} => pcalua.exe -a F:\WIN95\ENGLISH\Wizard.exe -d F:\WIN95\ENGLISH C:\Users\Tata\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Tata\Desktop\ProE szkolenie — skrót.lnk C:\Users\Tata\Desktop\Toshiba 500MB - 14-12-2013\EaseUS Partition Master 9.2.2.lnk C:\Users\Tata\Desktop\Toshiba 27_01_2014\EaseUS Partition Master 9.2.2.lnk C:\Users\Tata\Downloads\*.crdownload C:\Users\Tata\Downloads\*.tmp C:\Windows\SysWow64\Drivers\StarOpen.sys RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\found.000 RemoveDirectory: C:\found.001 CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.

Deinstalacja Firefox nie usuwa jego profilu z dysku, pozostał z adware (gdybyś kiedyś instalował FF, załadowałoby się z tego profilu), więc trzeba będzie ręcznie doczyścić. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: S0 Lbd; system32\DRIVERS\Lbd.sys [X] Task: {75946C06-EE6C-485D-A163-E97AD5035C75} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe BHO-x32: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\Lavasoft RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java RemoveDirectory: C:\Users\Marcin\AppData\Local\Mozilla RemoveDirectory: C:\Users\Marcin\AppData\Roaming\Mozilla Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Skoro przywróciłeś system, to teraz masz wykonać to:

Wszystko zrobione. Teraz: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Toolbar for Internet Explorer > Dalej. 2. Nie zauważyłam, że Bonjour był rzekomo odinstalowany, a nadal tkwi w systemie. Otwórz Notatnik i wklej w nim: Winsock: Catalog5 04 C:\Program Files\Bonjour\mdnsNSP.dll [121704 2011-08-30] (Apple Inc.) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Bonjour RemoveDirectory: C:\Program Files\Gadu-Gadu RemoveDirectory: C:\Program Files\Google\Google Toolbar RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\Adobe Acrobat - Reader - Distiller Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Potwierdź, że internet działa po tej operacji.

Teraz: 1. Uruchom AdwCleaner ponownie, lecz tym razem dobierz akcje Skanuj + Usuń. Przedstaw log z czyszczenia. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Users\user\AppData\Local\Google\Chrome SxS Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Czyli również w przeglądarce Edge nie ma problemu? Kolejne poprawki: 1. W Firefox nadal jest hijacker. Nie została wykonana ta akcja: Wykonaj. 2. Następnie drobne poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 2.4 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 2.4 RemoveDirectory: C:\Users\Dżoana\AppData\Roaming\OpenOffice.org2 RemoveDirectory: C:\Users\Dżoana\Desktop\SpyHunter 4.20.9.4533 Eng 32 Bit Portable Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Czy wykonałeś podane zalecenia? Masz skorzystać z Przywracania systemu, a po tym wykonać akcje które podałam w moim pierwszym poście.

Był tu w obrotach szkodliwy "Asystent pobierania" dobrychprogramów, o czym świadczy plik w katalogu Temp. Na temat "Asystentów": KLIK. Działania do wdrożenia: 1. Odinstaluj starą wersję Adobe Flash Player 18 NPAPI. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} HKU\S-1-5-21-1299410582-2055644840-134518843-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 HKU\S-1-5-21-1299410582-2055644840-134518843-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} SearchScopes: HKU\S-1-5-21-1299410582-2055644840-134518843-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1448999602&z=2a7f9ddf70c79c6ea490f7eg7zfz5bbtdt5tfm2w4e&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 CHR HomePage: Default -> hxxp://www.istartpageing.com/?type=hp&ts=1448999602&z=2a7f9ddf70c79c6ea490f7eg7zfz5bbtdt5tfm2w4e&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 CHR StartupUrls: Default -> "hxxp://www.istartpageing.com/?type=hp&ts=1448999602&z=2a7f9ddf70c79c6ea490f7eg7zfz5bbtdt5tfm2w4e&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178" CHR Session Restore: Default -> [funkcja włączona] FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\szekla\AppData\Roaming\Mozilla\Firefox\Profiles\e7glssvj.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\szekla\AppData\Roaming\Mozilla\Firefox\Profiles\e7glssvj.default\extensions\yahooprotected@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\szekla\AppData\Roaming\Mozilla\Firefox\Profiles\e7glssvj.default\extensions\default_newtabff@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 Task: {088ECF11-4F18-456B-93C5-4255F2177782} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-02] (Lenovo) HKLM\...\Run: [LenovoUtility] => "C:\Program Files\Lenovo\LenovoUtility\utility.exe" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartpageing uninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\ProgramData\8WdM8 RemoveDirectory: C:\ProgramData\8WMiniPro8 RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\Users\szekla\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\szekla\Desktop\Stare dane programu Firefox C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\szekla\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Firefox był co dopiero resetowany. Jeszcze Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Są tu liczne problemy, a nie tylko tytułowy hijacker: - Infekcja serwerów DNS, ustawione adresy izraelskie 199.203.131.145 - 82.163.143.167. - Więcej śladów adware. Metody nabycia tych śmieci: KLIK. - Okropnie stare antywirusy, Avira z 2007 i McAfee z 2009! To pozory zabezpieczeń. Należy zainstalować nowoczesnego antywirusa. - Dodatkowo, jest tu uszkodzenie Winsock sieciowego wynikające z brutalnego usunięcia pliku Avira z dysku. Akcje do przeprowadzenia: 1. Panel sterowania > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Przez Dodaj/Usuń programy odinstaluj stare wersje: Acrobat.com, Adobe Acrobat 5.0, Adobe AIR , Adobe Shockwave Player 11.5, Akamai NetSession Interface, Avira AntiVir PersonalEdition Premium, Java 7 Update 51, Java™ 6 Update 24, McAfee Agent, McAfee VirusScan Enterprise, Shockwave, Skaner on-line mks_vir Poza tym, wejdź do folderu C:\Program Files\DivX i sprawdź czy jest tam jakiś plik deinstalacyjny typu uninstall.exe / uninst.exe. Jeśli jest, uruchom go. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Documents and Settings\radeczek\Dane aplikacji\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) S4 Silly Shoulder; C:\Program Files\Silly Shoulder\Silly Shoulder.exe [8016171 2015-07-13] () [brak podpisu cyfrowego] R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\vWdMv\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] R1 StarOpen; C:\WINDOWS\system32\Drivers\StarOpen.sys [5632 2009-03-22] () [brak podpisu cyfrowego] S3 XDva104; \??\C:\WINDOWS\system32\XDva104.sys [X] S3 XDva110; \??\C:\WINDOWS\system32\XDva110.sys [X] S3 XDva115; \??\C:\WINDOWS\system32\XDva115.sys [X] S3 XDva120; \??\C:\WINDOWS\system32\XDva120.sys [X] S3 XDva123; \??\C:\WINDOWS\system32\XDva123.sys [X] S3 XDva129; \??\C:\WINDOWS\system32\XDva129.sys [X] S3 XDva136; \??\C:\WINDOWS\system32\XDva136.sys [X] S3 XDva143; \??\C:\WINDOWS\system32\XDva143.sys [X] S3 XDva145; \??\C:\WINDOWS\system32\XDva145.sys [X] S3 XDva152; \??\C:\WINDOWS\system32\XDva152.sys [X] S3 XDva166; \??\C:\WINDOWS\system32\XDva166.sys [X] S3 XDva168; \??\C:\WINDOWS\system32\XDva168.sys [X] S3 XDva170; \??\C:\WINDOWS\system32\XDva170.sys [X] S3 XDva176; \??\C:\WINDOWS\system32\XDva176.sys [X] ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox\Mozilla Firefox (Safe Mode).lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 ShortcutWithArgument: C:\Documents and Settings\radeczek\Pulpit\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 ShortcutWithArgument: C:\Documents and Settings\radeczek\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 ShortcutWithArgument: C:\Documents and Settings\radeczek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 Task: C:\WINDOWS\Tasks\Bidaily Synchronize Task.job => C:\Documents and Settings\All Users\Dane aplikacji\{5df37a25-3bc0-96cc-5df3-37a253bce894}\LoveROMs_Pokemon - Leaf Green Version (U) (V1.1).zip.exe Task: C:\WINDOWS\Tasks\Bidaily Synchronize Task[8da6].job => c:\documents and settings\all users\dane aplikacji\{01c71119-85f6-8fd7-01c7-7111985f4466}\hqghumeaylnlf.exe Task: C:\WINDOWS\Tasks\FileBlanket.job => c:\documents and settings\all users\dane aplikacji\{fb603cff-d076-486f-fb60-03cffd07f3ff}\8874022286382164022b.exe Task: C:\WINDOWS\Tasks\Superclean.job => c:\documents and settings\all users\dane aplikacji\{b59ef7de-c76e-d052-b59e-ef7dec76df7b}\hqghumeaylnlf.exe Task: C:\WINDOWS\Tasks\TowerPower.job => c:\documents and settings\all users\dane aplikacji\{b366fa38-6b1f-f840-b366-6fa386b1e8e1}\1896763150135686502b.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-19\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-20\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-1547161642-1078081533-725345543-1004\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1547161642-1078081533-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 HKU\S-1-5-21-1547161642-1078081533-725345543-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 HKU\S-1-5-21-1547161642-1078081533-725345543-1004\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1 DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 FF Plugin: @alawar.com/npapi -> C:\WINDOWS\npapi.dll [2014-01-29] (Alawar) FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\m87xbv78.default\extensions\sweetsearch@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\osa6yaax.default-1431643867046\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\osa6yaax.default-1431643867046\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\kcmad8jp.default-1441148422546\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\kcmad8jp.default-1441148422546\extensions\yahooprotected@gmail.com => nie znaleziono StartMenuInternet: firefox.exe - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\yoursites123Software AlternateDataStreams: C:\WINDOWS\system32\main.cpl:SummaryInformation AlternateDataStreams: C:\WINDOWS\system32\main.cpl:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} AlternateDataStreams: C:\WINDOWS\system32\svchost.exe:SummaryInformation AlternateDataStreams: C:\WINDOWS\system32\svchost.exe:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Dane aplikacji\{03e1adb2-10c8-0} C:\Documents and Settings\All Users\Dane aplikacji\{0a6815b4-60c8-1} C:\Documents and Settings\All Users\Dane aplikacji\{0eae874a-7064-1} C:\Documents and Settings\All Users\Dane aplikacji\{11ddef97-2064-0} C:\Documents and Settings\All Users\Dane aplikacji\2298308877529526562 C:\Documents and Settings\All Users\Dane aplikacji\d517df3c00001fdc C:\Documents and Settings\All Users\Dane aplikacji\JWdMJ C:\Documents and Settings\All Users\Dane aplikacji\pWdsManProp C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\vWdMv C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{B966F6EA-D5B3-4B0C-B818-EA6371E8540E} C:\Documents and Settings\All Users\Menu Start\Programy\DivX C:\Documents and Settings\All Users\Menu Start\Programy\Realtek Sound Manager C:\Documents and Settings\radeczek\Dane aplikacji\InkjetPrinter C:\Documents and Settings\radeczek\Dane aplikacji\temp9538.txt C:\Documents and Settings\radeczek\Dane aplikacji\ud_soundmanager.ini C:\Documents and Settings\radeczek\Dane aplikacji\Opera Software C:\Documents and Settings\radeczek\Dane aplikacji\TSv C:\Documents and Settings\radeczek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (2).lnk C:\Documents and Settings\radeczek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (3).lnk C:\Documents and Settings\radeczek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\radeczek\Menu Start\Programy\Governor of Poker 2\Download More Free Full Games from FoxyGames.Info.lnk C:\Documents and Settings\radeczek\Menu Start\Programy\MumboJumbo\Luxor C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Akamai C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Documents and Settings\Gość\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Program Files\prefs.js C:\Program Files\DivX C:\Program Files\mozilla firefox\plugins C:\Program Files\SFK C:\Program Files\Silly Shoulder C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\StarOpen.sys CMD: ipconfig /flushdns CMD: netsh firewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zainstaluj Internet Explorer 8, gdyż wersja IE6 jest dziurawa: KLIK. Nie ma znaczenia, że nie korzystasz z IE. 6. Zrób nowe logi: FRST z opcji Skanuj (Scan) - ponownie z Addition, ale bez Shortcut - oraz zaległy GMER. Dołącz też plik fixlog.txt.

DelFix zrobił co należy. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam. I więlkie dzięki za ewentualną dotację.

Jeśli tak, to jak mówiłam należy przeinstalować Firefox. Sprawdź czy coś pomoże: Panel sterowania > Sieć i internet > Opcje internetowe > Zaawansowane > Resetuj. To było albo albo, a nie oba na raz. I nie podałeś raportu zoek-results.txt. Wątki poprzedniego systemu nie skończone. Zajmę się drugim komputerem potem.

DelFix zrobił co trzeba. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Wszystko zrobione. Kończymy: 1. Zastosuj DelFix do usunięcia używanych narzędzi: KLIK. 2. I poczytaj o tym skąd te świństwa wchodzą: KLIK.

W zasadach działu m.in. jest wyszczególnione, by nie podbijać tematu postami "pośpieszającymi", bo to nie przyśpieszy odpowiedzi. Jestem jedyną osobą udzielającą pomocy w tym dziale. Rozejrzyj się ile jest tematów do zrobienia, a analiza wymaga precyzji (czyli gdzieś około 20 minut na osobę na jeden post!). Był tu używany wątpliwy skaner z czarnej listy - SpyHunter, z daleka od niego. Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Java 7 Update 25, OpenOffice.org 2.4. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 WdMan; C:\ProgramData\eWdMe\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Dżoana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms} HKU\S-1-5-21-244760883-3783918540-4036241172-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms} BootExecute: autocheck autochk * sh4native Sh4Removal Task: {F0FDF603-356D-4708-8F13-842E0A16281F} - System32\Tasks\SpyHunter4Startup => F:\SpyHunter 4.20.9.4533 Eng 32 Bit Portable\SpyHunter 4.20.9.4533 Eng 32 Bit Portable\SpyHunter4.exe Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe C:\spyhunter.fix C:\ProgramData\eWdMe C:\ProgramData\SWdMS C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ff42i15r14e33f26o83x.lnk C:\Users\Dżoana\x.exe C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\pl.html C:\WINDOWS\SysWOW64\sh4native.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Poza tym, uruchom przeglądarkę Edge i potwierdź, że w niej nie występują te przekierowania.

Wszystko zrobione. Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Tak sądziłam, że chodzi Ci o Edge, to nie jest nowa wersja Internet Explorer, tylko całkowicie odrębna przeglądarka. Później sobie możesz poczytać o budowie przeglądarki: KLIK. Pierwsze podejście z czyszczeniem Edge + doczyszczenie szczątków wykrytych przez AdwCleaner: 1. Zamknij Edge. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\distromatic DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\DiscoveryApp DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\hdcode DeleteKey: HKLM\SOFTWARE\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\TSv DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro Reg: reg query "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" Reg: reg query "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom przeglądarkę Edge i podaj co widzisz.

Tu są także ślady niedoczyszczonej w przeszłości infekcji trojanem ZeroAccess. Operacje do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe AIR, Java 7 Update 71, JDownloader 0.9, Spybot - Search & Destroy. Ten JDownloader 0.9 to wygląda na niepoprawnie odinstalowany. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] HKU\S-1-5-21-2728440765-1480881117-2173122078-1000\...\Run: [bingSvc] => C:\Users\Kasia\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-13] (© 2015 Microsoft Corporation) HKU\S-1-5-21-2728440765-1480881117-2173122078-1000\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-2728440765-1480881117-2173122078-1000\...0c966feabec1\InprocServer32: [Default-shell32] C:\Users\Kasia\AppData\Local\{1d14c466-c6bb-92ce-2712-6ee7ce1b3d2d}\n.UWAGA! ====> ZeroAccess/Alureon? ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} HKU\S-1-5-21-2728440765-1480881117-2173122078-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX" Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe CustomCLSID: HKU\S-1-5-21-2728440765-1480881117-2173122078-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\cWdMc RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\Users\Kasia\AppData\Local\{1d14c466-c6bb-92ce-2712-6ee7ce1b3d2d} RemoveDirectory: C:\Users\Kasia\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Kasia\Desktop\Stare dane programu Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader*.lnk C:\Users\Kasia\AppData\Local\{4C4D9482-43D9-475E-8323-6FE1F5014ACC} C:\Users\Kasia\AppData\Local\BIT16B6.tmp C:\Users\Kasia\Desktop\JDownloader.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 4. Zrób nowe logi: FRST z opcji Skanuj (Scan) (ponownie z Addition ale już bez Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Zadania wkonane, za wyjątkiem ostatniej komendy FRST, przy przeklejaniu zjadło Ci literkę sys. Ostatnie poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\AppID\{85198F55-85AC-498A-BFE4-BBC33840F4AB} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\hdcode DeleteKey: HKLM\SOFTWARE\ihpmserver DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\sweet-pageSoftware DeleteKey: HKLM\SOFTWARE\mystartsearchSoftware DeleteKey: HKLM\SOFTWARE\RayDld DeleteKey: HKLM\SOFTWARE\TSv DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\zoek_backup CMD: del /q C:\Windows\system32\Drivers\fsbts.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Brakuje pliku fixlog.txt z wynikami przetwarzania skryptu. Uzupełnij.