picasso

Wszystko zrobione. Niemniej pojawił się dziwny odczyt w logu o wyłączonych Usługach kryptograficznych - grzebałeś coś ręcznie? Poprawki. Otwórz Notatnik i wklej w nim: CMD: sc config CryptSvc start= auto CMD: sc start CryptSvc S3 MEMSWEEP2; \??\C:\Windows\system32\6A19.tmp [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Users\Artur\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Artur\Downloads\the-man-in-the-high-castle-the-new-world.exe CMD: del /q C:\Users\Artur\Downloads\the-martian-pol-6345157.exe CMD: del /q C:\Users\Artur\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Users\Artur\Downloads\SpywareTerminatorSetup.exe CMD: del /q C:\Users\Artur\Downloads\Universe*.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Po prostu plik fixlist.txt ma być w tym samym folderze skąd uruchamiasz FRST. W tym przypadku w katalogu Pobrane.

Używałeś wątpliwego skanera STOPzilla!. Do przeprowadzenia następujące operacje: 1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 10 ActiveX, Adobe Flash Player 19 NPAPI, Adobe Reader 9.1 - Polish, Bing Bar, Java™ 6 Update 16 oraz całą grupę F-Secure Client Security. Antywirus okropnie stary (datowanie określonych komponentów na rok 2010), potem uzupełnisz wybranym najnowszym. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Jacek\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 WdMan; C:\ProgramData\HWdMH\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S4 ApRunSvc; C:\Program Files\Apoint2K\ApRunSvc.exe [X] ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Programy\Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130941638600239736&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX&q={searchTerms} HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://www.lenovo.com/welcome/thinkpad HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130941638601331738&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX&q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2299845786-1738946570-1275540735-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX&q={searchTerms} Toolbar: HKU\S-1-5-21-2299845786-1738946570-1275540735-1003 -> Brak nazwy - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Brak pliku DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab FF HKLM\...\Firefox\Extensions: [litmus-ff@f-secure.com] - C:\Program Files\F-Secure\NRS\litmus-ff@f-secure.com FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\u8kotcia.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\u8kotcia.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\u8kotcia.default\extensions\default_newtabff@gmail.com FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\u8kotcia.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Programy\Firefox\firefox.exe HKLM\...\Run: [] => [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\yoursites123Software C:\Program Files\iS3 C:\Program Files\Common Files\653ac11b-b606-42c5-b357-bca0fd28d1cd C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\653ac11b-b606-42c5-b357-bca0fd28d1cd C:\ProgramData\4WMiniPro4 C:\ProgramData\BWdMB C:\ProgramData\HWdMH C:\ProgramData\STOPzilla! C:\Users\Jacek\AppData\Roaming\TSv C:\Windows\system32\pl.html C:\Users\Jacek\Downloads\STOPzillaPRO_Downloader.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używany bloker reklam trzeba będzie przeinstalować (Adblock Plus lub uBlock Origin, dwa na raz to za dużo). Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

W końcu dostarczone poprawne raporty. Tytułowy błąd produkuje odpadek adware w Harmonogramie zadań, ale jest tu nieco więcej do roboty w zakresie odpadków oraz starych aplikacji z groźnymi lukami. Przechodzimy do czyszczenia systemu: 1. Przez Dodaj/Usuń programy odinstaluj stare programy: Ad-Aware 2007, Adobe Acrobat 5.0 CE, Adobe AIR, Adobe Flash Player 19 ActiveX, Adobe Flash Player 19 NPAPI, Adobe Reader 9.5.5 - Polish, Gadu-Gadu 7.1, Google Toolbar for Internet Explorer, J2SE Runtime Environment 5.0 Update 6, Java 2 Runtime Environment, SE v1.4.2_11 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Aras\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\Pool Browser.job => C:\WINDOWS\system32\rundll32.exeeC:\Documents and Settings\Aras\Local Settings\Application Data\Pool Browser\Bin\PoolBrowser.dll GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-1390067357-1677128483-1060284298-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1390067357-1677128483-1060284298-1003\Software\Microsoft\Internet Explorer\Main,Strona wyszukiwania = hxxp://www.msn.com/access/allinone.asp HKU\S-1-5-21-1390067357-1677128483-1060284298-1003\Software\Microsoft\Internet Explorer\Main,Strona początkowa = hxxp://www.microsoft.com/msoffice/ HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "www.google.com" SearchScopes: HKU\S-1-5-21-1390067357-1677128483-1060284298-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1390067357-1677128483-1060284298-1003 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Brak nazwy -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> Brak pliku DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab DPF: {CAFEEFAC-0014-0002-0011-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-21-1390067357-1677128483-1060284298-1003\...\Run: [PowerBar] => [X] HKU\S-1-5-21-1390067357-1677128483-1060284298-1003\...\Policies\system: [HideLegacyLogonScripts] 0 HKU\S-1-5-21-1390067357-1677128483-1060284298-1003\...\Policies\system: [HideLogoffScripts] 0 HKU\S-1-5-21-1390067357-1677128483-1060284298-1003\...\Policies\system: [HideStartupScripts] 0 BootExecute: autocheck autochk * lsdelete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\aawservice => ""="Service" S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S4 HWDeviceService.exe; C:\Documents and Settings\All Users\Dane aplikacji\DatacardService\HWDeviceService.exe -/service [X] S4 LGII2CDevice; \??\C:\Program Files\LG Soft India\forteManager\bin\PII2CDriver.sys [X] S2 WIBUKEY; Brak ImagePath U3 Winsock - Google Desktop Search Backup Before First Install; Brak ImagePath U3 Winsock - Google Desktop Search Backup Before Last Install; Brak ImagePath C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\Picasa 3 C:\Documents and Settings\Aras\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Picasa 3.lnk C:\Documents and Settings\Aras\Menu Start\Programy\All To MP3 Converter\All To MP3 Converter Help.lnk C:\Documents and Settings\Aras\Start Menu\Programs\Browser Manager C:\Program Files\Mozilla Firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan) - zaznacz pole Addition, by powstały dwa logi, trzeci Shortcut nie jest mi już potrzebny. Dołącz też plik fixlog.txt.

Nazwy logów FRST.txt i Addition.txt wskazują, że je wyciągasz z folderu C:\FRST\Logs - to archiwum, bieżące logi są zawsze w folderze z którego uruchamiano FRST, w tym przypadku folder Pobrane. Prócz tytułowego hijackera, jest także inne adware oraz Google Chrome poszkodowane przez adware i przekonwertowane do wersji "developerskiej", co wymaga reinstalacji przeglądarki od zera. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Badanie mające na celu poprawę produktów HP Deskjet 1510 series, eBay, Google Chrome. Nie instaluj na razie Google Chrome, bo jeszcze w punkcie 2 doczyszczanie po Chrome będzie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer105.exe [236816 2015-10-09] (MustangService) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\4WdM4\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\MARCIN SKŁODOWSKI\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT ShortcutWithArgument: C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT ShortcutWithArgument: C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT ShortcutWithArgument: C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT Edge HomeButtonPage: HKU\S-1-5-21-51331620-3515759238-2826849094-1002 -> hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447167186&z=95d60b284b7132439c37bf9gfz6zem9gbq0qeb7t3m&from=cornl&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1447168742&z=6e260c3fb8418b2041ab731gdzcz6mcg7q9b9m2z9o&from=cornl&uid=toshibaxmq01abf050_331ac41qtxx331ac41qt&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1447168742&z=6e260c3fb8418b2041ab731gdzcz6mcg7q9b9m2z9o&from=cornl&uid=toshibaxmq01abf050_331ac41qtxx331ac41qt&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1447168742&z=6e260c3fb8418b2041ab731gdzcz6mcg7q9b9m2z9o&from=cornl&uid=toshibaxmq01abf050_331ac41qtxx331ac41qt&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1447168742&z=6e260c3fb8418b2041ab731gdzcz6mcg7q9b9m2z9o&from=cornl&uid=toshibaxmq01abf050_331ac41qtxx331ac41qt&q={searchTerms} HKU\S-1-5-21-51331620-3515759238-2826849094-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT&q={searchTerms} HKU\S-1-5-21-51331620-3515759238-2826849094-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT HKU\S-1-5-21-51331620-3515759238-2826849094-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT HKU\S-1-5-21-51331620-3515759238-2826849094-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT&q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-51331620-3515759238-2826849094-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT&q={searchTerms} SearchScopes: HKU\S-1-5-21-51331620-3515759238-2826849094-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT&q={searchTerms} SearchScopes: HKU\S-1-5-21-51331620-3515759238-2826849094-1002 -> {AA086F7F-0C1F-4C0C-A0DD-666E2699B7AB} URL = BHO-x32: Sale Charger -> {7a38e53c-e000-41e4-9b5a-47447db81c2b} -> C:\Program Files (x86)\Sale Charger\Extensions\7a38e53c-e000-41e4-9b5a-47447db81c2b.dll => Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Mozilla\Firefox\Profiles\m3k48y98.default-1438962377295\extensions\deskCutv2@gmail.com => nie znaleziono HKLM-x32\...\Run: [] => [X] Task: {06460C36-78F7-4203-BF90-752E2B5B9E66} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {07010C70-E733-45D1-8217-A8590ADBBB14} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {0EAD9442-1CB8-4262-ABEE-9F430E8C86F0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {209E2DAD-429A-4667-BF2E-50662369479D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {29308793-1C22-4CEE-827C-DCBE9D898397} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {3A2F2041-F3E9-4FF3-9B8B-92E87FFCA741} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {3DB85EF5-8BD1-444D-8794-ACC472B743AD} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {53EFD19D-F766-4745-9C38-939B3C2C5CB6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {AC177144-D5CF-4AFE-8E85-287D89CDDDA9} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {B87ABDB6-30AC-45B5-B7CD-5954EB92ADBC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {E347B97D-922C-41E2-BB7D-3695B134CC32} - System32\Tasks\{AA31EE25-70CB-4804-9BAC-0CFE70DEC168} => pcalua.exe -a "C:\Program Files (x86)\Origin\Origin.exe" -d "C:\Program Files (x86)\Origin" Task: {E9E5AFB9-1C01-458B-B64D-9E6FA2FBE62F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {F1F2F0CD-90CD-4964-92B6-0366CC65B76A} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe Task: {F2F84442-3A71-47A2-8AC9-5B36A70D2EF6} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {F94BF661-AFA6-492B-BDE8-4C23936AB971} - System32\Tasks\{D3A14B99-5239-432E-B5F8-51CF61AE9FD4} => pcalua.exe -a "C:\Program Files (x86)\Origin\Origin.exe" -d "C:\Program Files (x86)\Origin" Task: {FA3EA11D-09CF-49D6-BDE6-F6CD7B03E073} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software C:\Program Files (x86)\Google C:\Program Files (x86)\Lenovo C:\Program Files (x86)\RayDld C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\4WdM4 C:\ProgramData\DWdMD C:\ProgramData\pWMiniProp C:\ProgramData\TempMoudleSet C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\MARCIN SKŁODOWSKI\AppData\Local\nsa2DD.tmp C:\Users\MARCIN SKŁODOWSKI\AppData\Local\nsi7508.tmp C:\Users\MARCIN SKŁODOWSKI\AppData\Local\Google C:\Users\MARCIN SKŁODOWSKI\AppData\Local\Lenovo C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\istartsurf C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\TSv C:\Users\MARCIN SKŁODOWSKI\Downloads\*-dp*.exe C:\Users\MARCIN SKŁODOWSKI\Downloads\SpyHunter-Installer.exe C:\Users\MARCIN SKŁODOWSKI\REACHit C:\Windows\System32\Tasks\Lenovo C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom Zoek. W oknie wklej: Metric Collection SDK;u Klik w Run Script. Powstanie plik zoek-results.log (ręcznie zmień mu nazwę z *.log na *.txt, by wszedł do załącznika). 4. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i zoek-results.txt.

Do wykonania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje: Adobe Flash Player 16 NPAPI, Adobe Flash Player 17 ActiveX, Adobe Flash Player 19 PPAPI, Adobe Reader XI (11.0.10), Java 8 Update 51. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\JM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 ShortcutWithArgument: C:\Users\JM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 ShortcutWithArgument: C:\Users\JM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 ShortcutWithArgument: C:\Users\JM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 ShortcutWithArgument: C:\Users\JM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 ShortcutWithArgument: C:\Users\JM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 ShortcutWithArgument: C:\Users\JM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-2623575990-3541476920-34735288-1001 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={6E55E5F0-489F-4483-85C4-FD67A88C1D07}&mid=54056e49dc5b47d3a40275f39d5537d1-5d1eaa441dcf36c4868a4c4a8a20655d674fd282&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=fr&d=2014-11-06 18:47:30&v=4.1.6.294&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-2623575990-3541476920-34735288-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={6E55E5F0-489F-4483-85C4-FD67A88C1D07}&mid=54056e49dc5b47d3a40275f39d5537d1-5d1eaa441dcf36c4868a4c4a8a20655d674fd282&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=fr&d=2014-11-06 18:47:30&v=4.1.6.294&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-2623575990-3541476920-34735288-1001 -> {C04B7D22-5AEC-4561-8F49-27F6269208F6} URL = hxxp://www2.inbox.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=82115&iwk=283&lng=en BHO-x32: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Web TuneUp\4.1.8.599\AVG Web TuneUp.dll => Brak pliku Toolbar: HKU\S-1-5-21-2623575990-3541476920-34735288-1001 -> Brak nazwy - {D7E97865-918F-41E4-9CD0-25AB1C574CE8} - Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM-x32\...\Run: [] => [X] S1 lwnfd_1_10_0_14; system32\drivers\lwnfd_1_10_0_14.sys [X] Task: {538777AF-D156-472E-9DDC-125C1937DEEA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\5WMiniPro5 C:\ProgramData\yWdMy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\Users\JM\AppData\Local\AVG Web TuneUp C:\Users\JM\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\JM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Viber.lnk C:\Users\JM\Desktop\Total Commander.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Tu jest także w Google Chrome niepożądane rozszerzenie Shortcuts for All Google™ produkujące przekierowania iktmmny.com. Do wdrożenia następujące operacje: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i zbędniki: Google Talk Plugin (już nie działa), Java 7 Update 65 (64-bit), Java 8 Update 25, McAfee Security Scan Plus. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\eWdMe\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [File not signed] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Witcher Enhanced Edition Director's Cut [GOG.com]\The Witcher Enhanced Edition Director's Cut.lnk -> D:\Gry\The Witcher Enhanced Edition Director's Cut\launcher.exe (CD Projekt Red) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\The Witcher 2 - Assassins of Kings Enhanced Edition\The Witcher 2 - Assassins of Kings Enhanced Edition.lnk -> D:\Gry\The Witcher 2 Enhanced Edition\Launcher.exe (CD Projekt RED) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Duel of Champions Launcher\Duel of Champions Launcher.lnk -> D:\Gry\Duel of Champions\Launcher.exe (Ubisoft) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Karol\Desktop\Launch The Witcher Enhanced Edition Director's Cut.lnk -> D:\Gry\The Witcher Enhanced Edition Director's Cut\launcher.exe (CD Projekt Red) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Public\Desktop\Duel of Champions Launcher.lnk -> D:\Gry\Duel of Champions\Launcher.exe (Ubisoft) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Public\Desktop\The Witcher 2 - Assassins of Kings Enhanced Edition.lnk -> D:\Gry\The Witcher 2 Enhanced Edition\Launcher.exe (CD Projekt RED) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B&q={searchTerms} HKU\S-1-5-21-2774745869-3052220403-4266378736-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B HKU\S-1-5-21-2774745869-3052220403-4266378736-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B SearchScopes: HKU\S-1-5-21-2774745869-3052220403-4266378736-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B&q={searchTerms} SearchScopes: HKU\S-1-5-21-2774745869-3052220403-4266378736-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B&q={searchTerms} Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Karol\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Karol\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] FF HKLM-x32\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\dzd0bzkw.default\extensions\sidebarff@gmail.com Task: {29D3E6EF-18B8-4F07-8499-96A8445FCF87} - System32\Tasks\{84B0CEE2-5532-4738-AE82-087E5C433953} => Firefox.exe hxxp://ui.skype.com/ui/0/7.8.80.102/pl/abandoninstall?page=tsProgressBar Task: {2BD4E0E5-42D7-4432-9651-1D425BF51C1E} - System32\Tasks\{9C8C2E9A-B2C0-4B6D-BC47-AE0993DB2F8B} => Firefox.exe hxxp://ui.skype.com/ui/0/7.8.80.102/pl/abandoninstall?page=tsProgressBar Task: {91981038-F753-4060-82F5-586B08BD34B3} - System32\Tasks\{E74C9ED1-1527-4B40-AE6C-43043BFAC0AA} => Firefox.exe hxxp://ui.skype.com/ui/0/7.4.0.102/pl/abandoninstall?page=tsProgressBar Task: {B638EFC5-26C7-4148-A769-F57B06A2D421} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {D99AA887-51DC-4D1B-900B-3591BDC15EC5} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Picexa C:\Program Files (x86)\SFK C:\ProgramData\BWMiniProB C:\ProgramData\eWdMe C:\ProgramData\HWdMH C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\drollbox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fizzy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fraps C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kerbal Space Program C:\ProgramData\Microsoft\Windows\Start Menu\Programs\osu!\osu! updater.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MTA San Andreas 1.4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat C:\Users\Karol\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Karol\AppData\Local\Lenovo C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameRanger.lnk C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft C:\Users\Karol\AppData\Roaming\Mozilla\plugins C:\Windows\System32\Tasks\Lenovo C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Shortcuts for All Google™. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nie podałeś trzeciego obwiązkowego raportu FRST Shortcut. A problem jest szerszy niż tylko tytułowy hijacker (nawiasem mówiąc także w Edge siedzi), są tu też inne obiekty adware: polityki blokujące Google Chrome oraz adware Discovery App w Google Chrome. Prawdopodobnie są też zmodyfikowane globalne pliki DLL Google Chrome, w przeciwnym wypadku adware nie byłoby w stanie się zainstalować. Wymagana reinstalacja przeglądarki od zera. Przeprowadź następujące działania: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Picexa. Operacje związane z Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, opcja 2 do wykonania: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj Google Chrome, dopóki nie wykonasz punktu 2 doczyszczającego elementy Google. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\agula adomus\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\agula adomus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 ShortcutWithArgument: C:\Users\agula adomus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 Edge HomeButtonPage: HKU\S-1-5-21-782002170-3124842165-2239911744-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} HKU\S-1-5-21-782002170-3124842165-2239911744-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} SearchScopes: HKU\S-1-5-21-782002170-3124842165-2239911744-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} Task: {0D4269D0-5EA9-46BF-9038-3CC5C0A66D38} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {129659A1-4FF3-4CC4-992B-52CCE18C83A3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {2441C289-724D-4960-8503-5BD6A66747FB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {32B4A250-D80B-485A-B882-FCA436288D1E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {3B74E222-04CD-4A1D-A8B0-2E2E6D97E6E2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {4C1A5D36-58ED-4BB5-A627-50D4880CB25A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {5D4C6BC6-53AC-4290-A042-D7EAC83918E8} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {7C4C075B-C558-4905-B362-0290FD231A39} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BD3D8F11-9CA0-47E1-8FE6-7F19AEAD7003} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {C0D77755-1861-4179-9EDA-3F6DD9ED328B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E9AA64A5-45CB-4077-879C-82177133ED82} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\yoursites123Software /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f C:\Program Files\Google\Chrome C:\Program Files\Picexa C:\Program Files\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\8WdM8 C:\ProgramData\JWdMJ C:\ProgramData\Temp C:\Users\agula adomus\AppData\Local\Google\Chrome C:\Users\agula adomus\AppData\Local\Mozilla C:\Users\agula adomus\AppData\Roaming\Mozilla C:\Users\agula adomus\AppData\Roaming\TSv C:\WINDOWS\system32\data.bin C:\WINDOWS\system32\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowsze Google Chrome. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt.

Klucz innego użytkownika nie będzie pasował. Klucze są unikatowe dla danej instalacji Windows, generowane w oparciu o określone cechy systemu.

Nie wykonałeś ogłoszenia: KLIK. Aktywny sterownik SPTD. Ale zostaw już ten wątek z GMER. R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2013-12-29] (Duplex Secure Ltd.) U3 a5v12dwh; C:\Windows\System32\Drivers\a5v12dwh.sys [0 ] (Microsoft Corporation) U3 agzh3att; C:\Windows\System32\Drivers\agzh3att.sys [0 ] (Microsoft Corporation) Tu jest więcej odpadków adware niż tylko tytułowy problem, w tym stare nie wyczyszczone dobrze wcześniej. Akcje do wykonania: 1. Odinstaluj starą wersję Java 8 Update 31 oraz starą zaśmieconą adware przeglądarkę Mozilla Firefox 33.1.1 (x86 pl) + Mozilla Maintenance Service. A skrypt w punkcie 2 doczyści elementy Firefoxa. Nie instaluj nowego Firefoxa, dopóki nie wykonasz punktu 2, w przeciwnym wypadku skrypt go uszkodzi, 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Asia\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\MWdMM\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S2 cewiqigy; C:\Users\Asia\AppData\Roaming\VOPackage\nsrD2B2.tmpfs [X] S2 serverjo; C:\Users\Asia\AppData\Roaming\VOPackage\JOSrv.exe [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 L1C; system32\DRIVERS\L1C62x64.sys [X] S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] S1 wpnfd_1_10_0_9; system32\drivers\wpnfd_1_10_0_9.sys [X] ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446941988&z=32fe40539e6d14bf8115ecbgfzaz6q4t2zfg8m1g4g&from=cornl&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1429820466&from=cor&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1429820466&from=cor&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7&q={searchTerms} HKU\S-1-5-21-3791551304-1605642030-3926548003-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1429820466&from=cor&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7&q={searchTerms} HKU\S-1-5-21-3791551304-1605642030-3926548003-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 HKU\S-1-5-21-3791551304-1605642030-3926548003-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 HKU\S-1-5-21-3791551304-1605642030-3926548003-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1429820466&from=cor&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7&q={searchTerms} SearchScopes: HKU\S-1-5-21-3791551304-1605642030-3926548003-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Media View -> {91e22662-2e45-4335-ba74-745049e5a7ea} -> C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha763\ie\MediaViewV1alpha763.dll => Brak pliku BHO-x32: Media Watch -> {9977a7da-db58-4139-9200-fca246fff1bf} -> C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home630\ie\MediaWatchV1home630.dll => Brak pliku BHO-x32: Media Player -> {a5039609-ab5b-42fb-ac34-7c2d5f62a9c5} -> C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha774\ie\MediaPlayerV1alpha774.dll => Brak pliku BHO-x32: Video Player -> {a85ef1e9-bbb4-4e0d-9546-831c482cde00} -> C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta2985\ie\VideoPlayerV3beta2985.dll => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM-x32\...\Chrome\Extension: [gfnlgeljjnnbnnapcpppkipgggkmgbfo] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha763\ch\MediaViewV1alpha763.crx CHR HKLM-x32\...\Chrome\Extension: [jnhkealinadhpoolehpnfjnogaddkgpi] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home630\ch\MediaWatchV1home630.crx CHR HKLM-x32\...\Chrome\Extension: [mbkanhkelbmeipinmjmmaoieefdhlpcn] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta2985\ch\VideoPlayerV3beta2985.crx HKLM\...\Run: [Windows NTV Host Monitor] => C:\Program Files\Retro PC Calculator\ntvmon32.exe HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3791551304-1605642030-3926548003-1000\...\Run: [ChicaPasswordManager] => "C:\Program Files (x86)\ChicaLogic\Chica Password Manager\stpass.exe" /autorunned Task: {623AD434-2274-4122-8A96-A7763FF26B71} - System32\Tasks\{355FDAE7-5F65-4E92-ABD8-B934B862C5F6} => pcalua.exe -a "C:\Users\Asia\Downloads\dotNetFx35setup (1).exe" -d C:\Users\Asia\Downloads Task: {D0F7AB26-9C77-4DD5-A749-B59D2F47253B} - System32\Tasks\{C5D18A72-8183-40C3-BBFB-9D3F6096162E} => pcalua.exe -a C:\PROGRA~2\Ubisoft\PETZ4~1\UNWISE.EXE -c C:\PROGRA~2\Ubisoft\PETZ4~1\INSTALL.LOG C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\mntemp C:\ProgramData\BWdMB C:\ProgramData\MWdMM C:\ProgramData\Mozilla C:\ProgramData\Nero C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\Users\Asia\AppData\Local\nsr9BB0.tmp C:\Users\Asia\AppData\Local\Mozilla C:\Users\Asia\AppData\Local\Opera Software C:\Users\Asia\AppData\Local\WMTools Downloaded Files C:\Users\Asia\AppData\Roaming\.# C:\Users\Asia\AppData\Roaming\Mozilla C:\Users\Asia\AppData\Roaming\Opera Software C:\Users\Asia\AppData\Roaming\TSv C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gametree C:\Users\Asia\Desktop\RODZICE\PIT pro 2013.lnk C:\Users\Asia\Documents\ľŮ¸®»ţ\µżżµ»ó\łěČ­ µżżµ»ó Ŕç»ý ÄÚµ¦ ĽłÄˇ.lnk C:\Users\Asia\Downloads\*.crdownload C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\SysWOW64\pl.html Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MediaPlayerV1alpha774 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MediaViewV1alpha763 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MediaWatchV1home630 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

monimoni, wszystko już na ten temat zostało powiedziane i nikt nie wymyśli nic więcej. Plików *.vvv nie da się odkodować innymi metodami niż uiszczenie opłaty przestępcom. t6p miał po prostu szczęście, że dostał od nich klucz za darmo, a powód jest niejasny, gdyż nie znam żadnego innego takiego przypadku. A dane kontaktowe których używał to były dane z jego planszy szyfrującej, u każdego ta plansza pokazuje inne adresy. Każda ofiara ma inną "stronę osobistą". I proszę innych użytkowników niż autor tematu nie dopisywać się do tego wątku. Zasady działu: KLIK.

SpyHunter to wątpliwy skaner z czarnej listy namolnie reklamowany na fałszywych blogach jako usuwacz określonych infekcji, tylko po to by go zainstalować. Prócz infekcji notuję tu też problem z uszkodzonym WMI: ==================== Punkty Przywracania systemu ========================= UWAGA: Przywracanie systemu jest wyłączone Sprawdź usługę "winmgmt" lub napraw WMI. Operacje do wykonania: 1. Klawisz z flagą Windows + X > Programy i funkcje > Odinstaluj SpyHunter. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 WdMan; C:\ProgramData\3WdM3\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Puszczyk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P ShortcutWithArgument: C:\Users\Puszczyk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P ShortcutWithArgument: C:\Users\Puszczyk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P" CHR DefaultSearchURL: Default -> hxxp://www.yoursearching.com/web/?type=ds&ts=1449170298&z=98e347c5468016b45f17c19g9zaz3t9g1m9ecoft1t&from=smt&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-850205820-2377325791-3494594986-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKU\S-1-5-21-850205820-2377325791-3494594986-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} SearchScopes: HKU\S-1-5-21-850205820-2377325791-3494594986-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} Toolbar: HKU\S-1-5-21-850205820-2377325791-3494594986-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1449170298&z=98e347c5468016b45f17c19g9zaz3t9g1m9ecoft1t&from=smt&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P Task: {0633FBDD-97DB-417F-8861-E3EDCFD55116} - System32\Tasks\{33F4D19B-1EE9-44C8-90CD-5E99E4A76862} => pcalua.exe -a C:\Users\Puszczyk\Downloads\monitorfix.exe -d C:\Users\Puszczyk\Desktop C:\Program Files (x86)\GUMF13.tmp C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Norton 360 C:\Program Files (x86)\Opera C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\3WdM3 C:\ProgramData\3WMiniPro3 C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GTX Box Team C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype C:\Users\Puszczyk\AppData\Local\{91311D3A-6951-4FCC-B2BA-02DA8B22CF0E} C:\Users\Puszczyk\AppData\Roaming\TSv C:\Users\Puszczyk\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Puszczyk\Downloads\SpyHunter-Installer.exe C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowe logi: FRST z opcji Skanuj (Scan) - z Addition, ale bez Shortcut - oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Do wykonania: 1. Deinstalacje: - Odinstaluj stare wersje Adobe Flash Player 10 ActiveX, Adobe Flash Player 19 NPAPI, Java 8 Update 60 (64-bit). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\aWdMa\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk -> C:\Program Files (x86)\WarThunder\WarThunder\launcher.exe (Gaijin Entertainment) -> hxxp://www.yoursites123.com/?type=sc&ts=1449737768&z=98595381c675c01d6b88b7bg8z2z0tdmac0m1m2w6t&from=ient07021&uid=TOSHIBAXHDWD105_75MPBBXGSXX75MPBBXGSX ShortcutWithArgument: C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449737768&z=98595381c675c01d6b88b7bg8z2z0tdmac0m1m2w6t&from=ient07021&uid=TOSHIBAXHDWD105_75MPBBXGSXX75MPBBXGSX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449737768&z=98595381c675c01d6b88b7bg8z2z0tdmac0m1m2w6t&from=ient07021&uid=TOSHIBAXHDWD105_75MPBBXGSXX75MPBBXGSX ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449737768&z=98595381c675c01d6b88b7bg8z2z0tdmac0m1m2w6t&from=ient07021&uid=TOSHIBAXHDWD105_75MPBBXGSXX75MPBBXGSX CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF HKLM-x32\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Users\Artur\AppData\Roaming\Mozilla\Firefox\Profiles\2vocgyvq.default\extensions\sidebarff@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - firefox.exe SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3619837243-1613139419-1367118871-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {2AAA7E02-800A-42D6-A060-F11C47471EE9} - System32\Tasks\{67A137D6-AF09-49FF-9283-3A750B6F8063} => pcalua.exe -a "C:\Program Files (x86)\Steam\steamapps\common\Arma 2 Operation Arrowhead\BEsetup\Setup_BattlEyeARMA2OA.exe" -d "C:\Program Files (x86)\Steam\steamapps\common\Arma 2 Operation Arrowhead\BEsetup" Task: {4ED8BFB9-6576-43E2-A815-705B3DA194EA} - System32\Tasks\{8F7A3E13-61AA-413B-B45B-519688D90BDE} => pcalua.exe -a "C:\Program Files (x86)\Steam\steamapps\common\Arma 2\BEsetup\setup_BattlEyeARMA2.exe" -d "C:\Program Files (x86)\Steam\steamapps\common\Arma 2\BEsetup" Task: {F56E0E1F-44F3-4E6E-A318-AC2A8AD0E654} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: C:\Windows\Tasks\Opera N Saturday.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera N Sunday.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera N.job => C:\Program Files (x86)\Opera\launcher.exe HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun S3 MSICDSetup; \??\H:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\H:\NTIOLib_X64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AvgUi DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite Automount DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Opera C:\ProgramData\4WdM4 C:\ProgramData\aWdMa C:\ProgramData\Avg C:\Users\Artur\AppData\Local\AvgSetupLog C:\Users\Artur\AppData\Local\Balance Video C:\Users\Artur\AppData\Local\Beach Plugin C:\Users\Artur\AppData\Local\Lenovo C:\Users\Artur\AppData\Local\Opera Software C:\Users\Artur\AppData\Local\reca C:\Users\Artur\AppData\Local\Setup6654534 C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Artur\AppData\Roaming\Opera Software C:\Users\Artur\Desktop\Gry\Victoria 2.lnk C:\Users\Artur\Downloads\*-dp*.exe C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\System32\Tasks\Lenovo C:\Windows\system32\*.tmp C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie potem przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Do wykonania następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\XWdMX\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimed24 - PrzychodniaDemonstracyjna\System Optimed24 - PrzychodniaDemonstracyjna.lnk -> C:\Program Files\Optimed24\Launcher.exe (Comarch Healthcare SA) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft WSE 3.0\WSE on the Web.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Public\Desktop\System Optimed24 - PrzychodniaDemonstracyjna.lnk -> C:\Program Files\Optimed24\Launcher.exe (Comarch Healthcare SA) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX&q={searchTerms} HKU\S-1-5-21-2807833249-3072559820-428792479-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX HKU\S-1-5-21-2807833249-3072559820-428792479-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2807833249-3072559820-428792479-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2807833249-3072559820-428792479-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX&q={searchTerms} FF DefaultSearchEngine: yoursites123 FF SelectedSearchEngine: yoursites123 StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX CHR StartupUrls: Default -> "hxxp://www.google.com","hxxp://www.yoursites123.com/?type=hp&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX" CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - D:\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-08-01] HKU\S-1-5-21-2807833249-3072559820-428792479-1000\...\Run: [Comarch Data Extractor] => "C:\Program Files\Comarch BI\Data Extractor\Data Extractor\Comarch Data Extractor.exe" Task: {103B68DD-21D9-4DE7-ABF5-AA50BA74B334} - System32\Tasks\{E7C7E2E7-B0EF-4D22-9397-D759EB7EE9F8} => C:\Program Files\Mobile Partner\Mobile Partner.exe Task: {3F2BFE60-610B-4964-8FFD-3A7E4E393996} - System32\Tasks\{A9046CFC-74B2-4658-9026-2114660C78BE} => C:\Program Files\Mobile Partner\Mobile Partner.exe Task: {5764F20B-7F69-4765-95E4-DE27DB2E0DD8} - System32\Tasks\Opera N Saturday => C:\Program Files\Opera\launcher.exe Task: {DBAA2AA5-C49B-40E5-BEEE-6F4EF3A0A5B8} - System32\Tasks\Opera N Sunday => C:\Program Files\Opera\launcher.exe Task: {E7E9998C-8D19-4B66-B220-A66876AC1342} - System32\Tasks\{8CC3E799-2CC4-490A-842B-C6B34FA30812} => pcalua.exe -a D:\01_Pelna_wersja_instalacyjna\setup.exe -d D:\01_Pelna_wersja_instalacyjna DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] C:\Program Files\Opera C:\ProgramData\{50485812-B983-41F9-B0EA-6D73297A13D3} C:\ProgramData\eWdMe C:\ProgramData\XWdMX C:\Users\Marcin\AppData\Local\Opera Software C:\Users\Marcin\AppData\Roaming\Opera Software C:\Users\Marcin\AppData\Roaming\Shortcut C:\Windows\system32\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. rób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Wyląda na to, że te wszystkie śmieci zostały nabyte z "Asystenta pobierania" dobrychprogramów, gdyż na dysku są charakterystyczne zestawy: KLIK. Operacje do wykonania: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj istartsurf uninstall, Picexa. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK (odpadek po niechcianym REACHit Lenovo) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\9WdM9\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447697120&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} HKU\S-1-5-21-3630990288-2120868229-998028013-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3630990288-2120868229-998028013-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW HKU\S-1-5-21-3630990288-2120868229-998028013-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm HKU\S-1-5-21-3630990288-2120868229-998028013-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} SearchScopes: HKU\S-1-5-21-3630990288-2120868229-998028013-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} SearchScopes: HKU\S-1-5-21-3630990288-2120868229-998028013-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} Toolbar: HKU\S-1-5-21-3630990288-2120868229-998028013-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-08-12] Task: {1FF32306-2FCD-404B-9964-299C66FB2464} - System32\Tasks\{26F5027A-8277-4A2F-B749-8013233453E2} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.0.0.102/pl/abandoninstall?page=tsMain Task: {B84E99A2-62EA-4EB9-B28A-F14544D8EF77} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo C:\Program Files\Lenovo C:\Program Files\Opera C:\Program Files\Picexa C:\Program Files\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\4WdM4 C:\ProgramData\6WMiniPro6 C:\ProgramData\9WdM9 C:\Users\Joe\AppData\Local\Lenovo C:\Users\Joe\AppData\Local\Opera Software C:\Users\Joe\AppData\Roaming\istartsurf C:\Users\Joe\AppData\Roaming\OpenCandy C:\Users\Joe\AppData\Roaming\Opera Software C:\Users\Joe\AppData\Roaming\TSv C:\Users\Joe\REACHit C:\Windows\System32\Tasks\Lenovo Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Jego dane kontaktowe są w pierwszym poście na obrazku i nie przydadzą Ci się. Każda ofiara ma wygenerowny osobisty adres kontaktowy zawarty w plikach how_recover*. vs. http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information#distribution http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/page-19?do=findComment&comment=3879994

Run as System Strona domowa Platforma: Windows 7 i nowsze 32-bit i 64-bit Licencja: freeware Run as System - Kolejna aplikacja do uruchamiania programów z kontekstu konta SYSTEM. Obsługuje uruchamianie plików EXE, CMD, BAT, JS, VBS. Przykładowo, by uruchomić linię komend wpisz po prostu cmd. By uruchomić plik batch, wpisz cmd /c [ścieżka do pliku]. Na stronie nie zostały podane wymagania systemowe, ale program nie działa w XP.

Z raportu CBS nic nie wynika. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, powstanie plik C:\Windows\Logs\CBS\checksur.log. W Opcjach folderów odznacz opcję "Ukrywaj rozszerzenie znanych typów plików", zmień nazwę pliku na checksur.txt i dołącz do posta. Czyli do usunięcia będą sterowniki Hewlett-Packard. Pod tym kątem: - Pobierz ponownie FRST, zrób skan na następującym ustawieniu: odznacz pola Dienste (Usługi) + Treiber (Sterowniki). - Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator > w menu Widok włącz pokazywanie ukrytych urządzeń, zrób zrzut ekranu z tak ustawionego menedżera. Obawiam się, że partycja uległa uszkodzeniu i jest na ubój.

W skrypcie FRST było już zadane drukowanie wyników: CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log Wyniki Fixlog opowiadają, że zostały wykryte określone naruszenia i nie zostały naprawione z powodu braku poprawnych kopii w systemie. Nie jestem pewna czy akurat te naruszenia mają wielkie znaczenie pod kątem ewentualnej aktualizacji systemu do SP1 i jest sens inwestować w to czas, bowiem ich naprawa wymaga dużego nakładu pracy i dostarczenia identycznych wersji plików z mojego systemu. Z tym, że skan wyłożył się i nie dokończył, więc nie wiadomo ile jeszcze jest naruszeń. Na pewno jest uszkodzony plik Windows Defender widoczny w logu FRST jako niesygnowany i to pod jego kątem zadałam skan SFC, choć właśnie przerwany skan SFC nie pokazuje go. Na razie powyższy wątek pomijam, za wyjątkiem pliku Windows Defender. Kolejne doczyszczanie. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\{4FFCCBC4-1FF0-4C6A-9C13-2325AE62457E} DeleteKey: HKCU\Software\24F05F77F660991E DeleteKey: HKCU\Software\DailyPcClean DeleteKey: HKCU\Software\Local AppWizard-Generated Applications DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKCU\Software\Opera Software DeleteKey: HKCU\Software\Reg\Clean DeleteKey: HKCU\Software\Reimage DeleteKey: HKCU\Software\spaceplus DeleteKey: HKCU\Software\systweak DeleteKey: HKCU\Software\tstamptoken DeleteKey: HKCU\Software\Tutorials DeleteKey: HKCU\Software\TutoTag DeleteKey: HKCU\Software\Valve DeleteKey: HKCU\Software\YbPack DeleteKey: HKCU\Software\zsys DeleteKey: HKLM\SOFTWARE\Apple Inc. DeleteKey: HKLM\SOFTWARE\AVG DeleteKey: HKLM\SOFTWARE\im-dosearch DeleteKey: HKLM\SOFTWARE\Motorola DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\mysites123Software DeleteKey: HKLM\SOFTWARE\NetTcpHandler DeleteKey: HKLM\SOFTWARE\NtSvcHandler DeleteKey: HKLM\SOFTWARE\Opera Software DeleteKey: HKLM\SOFTWARE\Reg\Clean DeleteKey: HKLM\SOFTWARE\Reimage DeleteKey: HKLM\SOFTWARE\SmdmF DeleteKey: HKLM\SOFTWARE\Sonic DeleteKey: HKLM\SOFTWARE\SoundPlus DeleteKey: HKLM\SOFTWARE\SwiftSearch_1.10.0.25 DeleteKey: HKLM\SOFTWARE\Systweak DeleteKey: HKLM\SOFTWARE\Tutorials DeleteKey: HKLM\SOFTWARE\Valve DeleteKey: HKLM\SOFTWARE\Yahoo RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Google\Chrome Cleanup Tool RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Google\CrashReports CMD: del /q "C:\Users\Aramejskie PsP\AppData\Local\Google\w9oln4g4x5.1fjev" CMD: dir /a "C:\Users\Aramejskie PsP\AppData\Local\Google\Chrome" CMD: dir /a "C:\Users\Aramejskie PsP\AppData\Local\Google\Chrome\User Data" CMD: netsh advfirewall reset CMD: sfc /scanfile="C:\Program Files\Windows Defender\mpsvc.dll" Reg: reg query HKCU\Software\AppDataLow\Software Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Szybki rzut okiem na wyniki potwierdza poprawność zadania, w rozumieniu braku błędów. Czyli teraz wdrażasz główny plan: kopie zapasowe ważnych danych > format > programy zabezpieczające podałam wcześniej, uwaga też na wersje Adobe Flash i Java (TeslaCrypt głównie utylizuje exploity bazujące na przeterminowanym flashu). I chyba temat możemy zamknąć.

Nie notuję żadnych podejrzanych obiektów. Temat uznaję więc za zakończony. 1. Usuń drobny błąd WMI narzędziem Fix-it: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj foldery C:\FRST + D:\Pobrane\FRST-GMER.

Ten skrypt wygląda na uruchomiony więcej niż raz, gdyż większość wyników to "nie znaleziono". I czy pozbyłeś się aplikacji Windowqs :Live? Poza tym, podaj świeże logi FRST (włącznie z Addition), by było wiadome czy nie nastąpiły w międzyczasie jakieś zmiany.

Jeśli instalacja Windows 7 odbędzie się z Recovery HP lub płyt HP, to zintegrowane starocie wylądują w systemie w trakcie jego instalacji. W tej sytuacji do wyboru: - Jeśli system byłby aktualizowany nakładkowo do Windows 10: natychmiast po instalacji Windows 7 wszystko odinstalować via Panel sterowania, bo aktualizacja zachowuje wszystkie aplikacje desktopowe użytkownika (wyjątkiem są XP Mode i Windows Media Center). Po deinstalacji Nortona zaprawić jeszcze narzędziem Norton Removal Tool uruchomionym z poziomu Trybu awaryjnego. - Jeśli system od razu byłby zastępowany metodą "czystej instalacji" przez Windows 10: zainstalowane aplikacje nie mają znaczenia, nie zostaną przeportowane na czysty Windows 10. Aktualizacja Windows 7 do Windows 10 wymaga określonych aktualizacji, w przeciwnym wypadku system nie zostanie zakwalifikowany jako materiał do darmowej aktualizacji. Wymogiem jest przede wszystkim obecność pakietu SP1 (systemy pre-SP1 nie kwalifikują się), ale są też dodatkowe łaty kwalifikujące do instalacji metodą Windows Update. Metody aktualizacji są różne, ta druga zdecydowanie lepsza (brak śmieci po aktualizacji): - Upgrade via Windows Update lub z bootowalnej płyty: KLIK - "Czysta instalacja", w najnowszych instalatorach Windows 10 zniesiono wymóg aktualizacji w/w metodą i jest autodetekcja klucza Windows 7: KLIK.

Skrypt wykonany. Te same kroki końcowe z DelFix do wykonania co poprzednio. Na dysku w katalogu "Moje dokumenty" są też zaszyfrowane śmieci, to już samodzielnie posprzątaj. Sugeruję jednak zrobić format dysku. I teraz kwestia zabezpieczeń: - Wtyczki Adobe Flash do aktualizacji. Poza tym, zaktualizowałeś już wprawdzie Adobe Reader, ale czy on naprawdę jest tu potrzebny? - Podawałam programy specjalizowane w zabezpieczeniach przed szyfratorami. Na dysku widać tylko pobrany CryptoMonitor, ale nie zainstalowany. Czy były jakieś przeszkody? Jeśli ta aplikacja stwarza problemy, to skorzystaj z CryptoPrevent. - Brak także jakiegokolwiek antywirusa. Dobierz z czołówki (nie z niszy) dowolnego darmowego lub komercyjnego, który Ci się podoba.

Skrypt do FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: attrib -r -h -s C:\*.vvv /s CMD: attrib -r -h -s C:\how_recover* /s CMD: attrib -r -h -s D:\*.vvv /s CMD: attrib -r -h -s D:\how_recover* /s CMD: del /q /s C:\*.vvv CMD: del /q /s C:\how_recover* CMD: del /q /s D:\*.vvv CMD: del /q /s D:\how_recover* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, przetwarzanie może trwać długo w zależności od liczebności śmieci. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Będzie ogromny, shostuj na jakiś zewnętrznym serwisie i podaj link do pliku.