picasso

Temat przenoszę do działu Windows. Problemy nie są wynikiem infekcji. Czyli mam rozumieć, że jedynym systemem jest Windows 7, a Linuksowy loader nie pełni tu żadnej ciekawej roli i ma być usunięty? Jeśli tak, to możesz skorzystać z EasyBCD do nadpisania rozruchu (edycja BCD + nadpisanie MBR). Prawdopodobnie chodzi o niekompatybilne urządzenie Conexant. Sterownik ten załączę do usuwania w skrypcie FRST. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Name: Conexant 2388x Tuner (FM1216 MK3, 4 in 1) Description: Conexant 2388x Tuner (FM1216 MK3, 4 in 1) Class Guid: {4d36e96c-e325-11ce-bfc1-08002be10318} Manufacturer: Conexant Service: CXTUNE Problem: : The software for this device has been blocked from starting because it is known to have problems with Windows. Contact the hardware vendor for a new driver. (Code 48) Resolution: Download the latest drivers from the manufacturer, uninstall the current driver, and then install the latest drivers. Dziennik System: ============= Error: (12/09/2015 04:31:28 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Conexant 2388x Tuner z powodu następującego błędu: %%1275 Error: (12/09/2015 04:30:42 PM) (Source: Application Popup) (EventID: 875) (User: ) Description: Sterownik CX88TUNE_IBV32.sys został zablokowany dla ładowania. I jest tu ogólny problem ze starymi sterownikami. Przede wszystkim rzuca się w oczy stary rozbudowany AVG 2013 oraz przeterminowany inwazyjny sterownik sptd od Alcohola. Ale są i inne stare sterowniki Audials, RivaTuner, Sentinel. Ponadto, są błędy charakterystyczne dla przeterminowanych sterowników ATI: Dziennik System: ============= Error: (12/09/2015 04:30:54 PM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active Error: (12/09/2015 04:30:54 PM) (Source: atikmdag) (EventID: 19468) (User: ) Description: CPLIB :: General - Invalid Parameter Z raportów nic nie wynika. Widać, że profil Firefox już był resetowany. Niemniej to stary Firefox 30, najnowszy dostępny to Firefox 42. Po prostu będzie reinstalacja przeglądarki. Czyli na razie takie operacje do wdrożenia: 1. Deinstalacje: ----> Odinstaluj via Panel sterowania stare wersje: Adobe Flash Player 10 ActiveX, Audials, AVG 2013, Java 7 Update 9, JavaFX 2.1.1, Mozilla Firefox 30.0 (x86 pl) + Mozilla Maintenance Service, Opera 12.02, RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition, RockMelt, Sentinel Protection Installer 7.6.6. ----> Po normalnej deinstalacji AVG zastosuj jeszcze AVG Remover z poziomu Trybu awaryjnego Windows. 2. Instalacje: ----> Zainstaluj najnowszy Firefox. ----> Jeśli Alcohol nadal tu ma być, zaktualizuj sterownik sptd posługując się narzędziem SPTDinst. 3. Po wszystkich (de)instalacjach usunięcie sterownika Conexant oraz drobne czyszczenie wpisów pustych i Tempów nie powiązane ze zgłaszanymi problemami problemami. Patrz do spoilera. 4. Wyczyść Dzienniki zdarzeń, by nagrały się tylko bieżące błędy: Start > w polu szukania wklep eventvwr.msc > z prawokliku Uruchom jako Administrator > w sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku opróżnij Operational. Po czyszczeniu zresetuj system. 5. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy po w/w operacjach są jakieś zmiany.

Sytuacja jest następująca: w systemie działa aktywnie adware Sound+, próbując rozwiązać problem doinstalowałeś śmieciarki wątpliwy program DLL-Files, a ponadto dramat z antywirusami, McAfee nie odinstalował się poprawnie i działa wspólnie z Kasperskym, co powinno owocować wydanym obniżeniem wydajności. Operacje do przeprowadzenia: 1. Deinstalacje: Z poziomu Trybu awaryjnego Windows uruchom specjalny czyściciel McAfee Consumer Product Removal Tool. Po skorzystaniu z niego opuść Tryb awaryjny. Przez Panel sterowania odinstaluj adware, stare wersje i zbędniki: Adobe AIR, Apple Software Update, Dll-Files Fixer, Lenovo Experience Improvement, Safari, Sound+ Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres awesomehp.com 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut.

Znowu miałeś problem z poprawnym przeklejeniem zawartości skryptu z posta do Notatnika, sklejone linie, wiele zadań się nie wykonało. Powtarzaj skrypt o takiej postaci, przejścia do nowej linii mają być identyczne w Notatniku: RemoveDirectory: C:\Documents and Settings\slawek\Ustawienia lokalne\Dane aplikacji\ycev CMD: attrib -s -h "C:\Documents and Settings\All Users\*.exe" CMD: del /q "C:\Documents and Settings\All Users\*.exe" CMD: del /q C:\DelFix.txt.vvv CMD: del /q C:\WINDOWS\mru.dat CMD: attrib -r -h -s C:\how_recover* /s CMD: attrib -r -h -s D:\how_recover* /s CMD: attrib -r -h -s E:\how_recover* /s CMD: attrib -r -h -s F:\how_recover* /s CMD: attrib -r -h -s G:\how_recover* /s CMD: attrib -r -h -s H:\how_recover* /s CMD: attrib -r -h -s I:\how_recover* /s CMD: attrib -r -h -s J:\how_recover* /s CMD: attrib -r -h -s K:\how_recover* /s CMD: del /q /s C:\how_recover* CMD: del /q /s D:\how_recover* CMD: del /q /s E:\how_recover* CMD: del /q /s F:\how_recover* CMD: del /q /s G:\how_recover* CMD: del /q /s H:\how_recover* CMD: del /q /s I:\how_recover* CMD: del /q /s J:\how_recover* CMD: del /q /s K:\how_recover* EmptyTemp: Dostarcz wynikowy fixlog.txt. Powinien być ogromny.

Miałeś tylko dostarczyć wyniki skanu AdwCleaner i nic za jego pomocą nie usuwać, a skorzystałeś z opcji Usuń. Druga sprawa, w momencie gdy usuwałam obiekty Firefox z dysku i rejestru był on odinstalowany, teraz jest zainstalowany ponownie - czy na pewno instalowałeś go po uruchomieniu skryptu FRST? W przeciwnym wypadku mój skrypt uszkodził nową instalację i trzeba ponownie reinstalować FF. Uruchom Zoek. W oknie wklej: swMSM;u [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}];r64 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM];r64 Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

Wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. 2. Usuń drobny błąd WMI narzędziem Fix-it: KLIK. 3. Uruchom DelFix, oraz wyczyść foldery Przywracania systemu: KLIK.

Jeśli chodzi o Chrome, to nastąpiły zmiany od ostatniego raportu (w tym założenie kompletnie nowego profilu) i rzeczywiście nie ma już tych preferencji. Firefox zaś teraz wygląda OK, ten prefs.js z Pulpitu skasuj, do niczego już niepotrzebny. Wszystko zrobione. Kończymy: 1. Usuń drobny błąd WMI narzędziem Fix-it: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

t6p, rzeczywiście nie zrozumiałam, że Ty ... nie zapłaciłeś nic, bo z dialogu to nie wynikało wprost (myślałam że ta stówka jednak poszła). Sytuacja kompletnie nie zrozumiała. Jesteś pewien, że to nie jest jakieś "demo" (tylko część plików odszyfrowana), a wszystkie odkodowane pliki działają? A skrypt podam jak będę mogła się zająć tym tematem dokładniej.

To jest ciągle ten sam komputer, tematy sklejam razem. I jest wysoce niepokojące, że nastąpił drugi nalot infekcji szyfrującej. Coś jest nieszczelne lub popełniono identyczny błąd jak wcześniej. Tym razem infekcja TeslaCrypt i zaszyfrowane kopie plików z rozszerzeniem .vvv. Owszem, infekcja nie jest już aktywna, ale nadal są ślady po jej pobycie, zarówno w rejestrze, jak i na dysku. Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Run: [browserMe] => C:\Documents and Settings\slawek\Dane aplikacji\BrowserMe\ChromeUpdate.exe HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Run: [a09b6bddd0] => C:\Documents and Settings\slawek\Dane aplikacji\a09b6bddd0\c09ec.exe HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Policies\Explorer: [HideSCAHealth] 1 RemoveDirectory: C:\Documents and Settings\slawek\Ustawienia lokalne\Dane aplikacji\ycev CMD: del /q C:\DelFix.txt.vvv CMD: attrib -h "C:\Documents and Settings\All Users\*.exe" CMD: attrib -h "C:\Documents and Settings\All Users\Dane aplikacji\@system3.att" CMD: del /q "C:\Documents and Settings\All Users\*.exe" CMD: del /q "C:\Documents and Settings\All Users\Dane aplikacji\@system3.att" CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\wpulog.txt" CMD: attrib -r -h -s C:\how_recover* /s CMD: attrib -r -h -s D:\how_recover* /s CMD: attrib -r -h -s E:\how_recover* /s CMD: attrib -r -h -s F:\how_recover* /s CMD: attrib -r -h -s G:\how_recover* /s CMD: attrib -r -h -s H:\how_recover* /s CMD: attrib -r -h -s I:\how_recover* /s CMD: attrib -r -h -s J:\how_recover* /s CMD: attrib -r -h -s K:\how_recover* /s CMD: del /q /s C:\how_recover* CMD: del /q /s D:\how_recover* CMD: del /q /s E:\how_recover* CMD: del /q /s F:\how_recover* CMD: del /q /s G:\how_recover* CMD: del /q /s H:\how_recover* CMD: del /q /s I:\how_recover* CMD: del /q /s J:\how_recover* CMD: del /q /s K:\how_recover* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt - jeśli za duży do załącznika, shostuj gdzieś i podaj link. I opisz co to za komputer, czy podlega jakiejś sieci, co robiono w obu przypadkach wystąpienia infekcji.

No tak, ale wyłączenie które z podanych wpisów?

DelFix wykonał operację. Skasuj z dysku plik C:\delfix.txt.

Akcje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj zbędnik REACHit Lenovo, całkiem możliwe że to była sponsorowana niechciana instalacja. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Paweł Świątek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663977&z=235da94fcaa464dee5665dcgdzfz8teqfqccat9m7w&from=ient07021&uid=ST750LM022XHN-M750MBB_S2USJ9AC308266 ShortcutWithArgument: C:\Users\Paweł Świątek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663977&z=235da94fcaa464dee5665dcgdzfz8teqfqccat9m7w&from=ient07021&uid=ST750LM022XHN-M750MBB_S2USJ9AC308266 ShortcutWithArgument: C:\Users\Paweł Świątek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663977&z=235da94fcaa464dee5665dcgdzfz8teqfqccat9m7w&from=ient07021&uid=ST750LM022XHN-M750MBB_S2USJ9AC308266 ShortcutWithArgument: C:\Users\Paweł Świątek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663977&z=235da94fcaa464dee5665dcgdzfz8teqfqccat9m7w&from=ient07021&uid=ST750LM022XHN-M750MBB_S2USJ9AC308266 HKU\S-1-5-21-1352084243-2475430989-4279152293-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449663977&z=235da94fcaa464dee5665dcgdzfz8teqfqccat9m7w&from=ient07021&uid=ST750LM022XHN-M750MBB_S2USJ9AC308266&q={searchTerms} Task: {01C12FC6-0878-4244-B1F3-9BFF14F5BAE2} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {A090D0E7-229D-4EEC-BFBE-377061B82959} - System32\Tasks\{95E79A1E-696D-4CFF-A238-71579944AB20} => pcalua.exe -a "E:\Windows 7\11. Bluetooth\Setup.exe" -d "E:\Windows 7\11. Bluetooth" Task: {D4CB81FD-3555-4E1C-BABA-2E874BFDDA89} - System32\Tasks\{3B18B9ED-6AFB-49B8-BFB2-63FAEFC98FD2} => Firefox.exe hxxp://ui.skype.com/ui/0/7.10.0.101/pl/abandoninstall?page=tsProgressBar HKLM-x32\...\RunOnce: [] => [X]() HKU\S-1-5-21-1352084243-2475430989-4279152293-1000\...\Policies\Explorer: [] C:\Program Files (x86)\AVG C:\ProgramData\7WdM7 C:\ProgramData\MWdMM C:\ProgramData\MFAData C:\Windows\SysWOW64\pl.html C:\Users\Paweł Świątek\AppData\Local\Akamai C:\Users\Paweł Świątek\AppData\Local\Avg C:\Users\Paweł Świątek\AppData\Local\AvgSetupLog C:\Users\Paweł Świątek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Paweł Świątek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Dodatkowo, są pewne wpisy w raporcie oznaczone jako "brak pliku", a to może być fałszywy alarm. Podaj mi wyniki szukania, tzn. uruchom FRST i w polu Szukaj wklej co poniżej, klik w Szukaj plików i dostarcz wynikowy log. AcmPEXCtrl.ocx;g3vPartAuthEnviron.arx

Tak, log DelFix jest krótki, więc wklej go po prostu do posta.

Niezrozumiałe skąd to wraca. Reset Firefox tworzy czysty profil, omawiane preferencje (w tym nieobsługiwany już nawet Keyword.URL) nie powinny mieć skąd wracać. W tej sytuacji: 1. Zamknij Firefox i upewnij się, że jego proces nie jest aktywny. Następnie wytnij na Pulpit poniższy plik: C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\p3o02fic.default-1449697798686\prefs.js Po akcji uruchom Firefox, powinien zrzucić świeży czysty plik prefs.js. 2. W Google Chrome też preferencje Bing stoją jak przyklejone. Wykonaj te akcje: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres msn.com. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy sponsorowany Bing. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Infekcja pomyślnie usunięta. Teraz drobne poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres gazeta.allplayer.org. To sponsorowana strona. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Na koniec skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle z mojej strony.

Wprawdzie Fix FRST wykonany, ale coś tu jest nie tak. Firefox był dwa razy resetowany, a ciągle wracają te oto śmieciowe preferencje: FF Homepage: hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 FF SelectedSearchEngine: Google FF DefaultSearchEngine: Google FF Keyword.URL: hxxp://www.bing.com/search?FORM=SK2MDF&PC=SK2M&q= Pytania: czy na pewno synchronizacja FF jest wyłączona, czy przypadkiem ręcznie nie wstawiasz jakiejś kopii zapasowej do nowego odświeżonego profilu?

Wszystko zrobione. Problem powinien być rozwiązany. Ostatni skrypt poprawkowy do FRST. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe logi niesą mi już potrzebne.

Problem jest nadal w Internet Explorer, bo dwa skróty LNK nie zostały naprawione, jeden z nich nawet nie był uprzednio zmodyfikowany (zmiana wykonana między utworzeniem poprzednich logów a Fixem FRST). Ponadto, nie ma oznak, że został zresetowany Firefox, a w jego preferencjach nadal jest ten szkodnik. Poprawki: 1. To nadal aktualne: . 2. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\JKB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX ShortcutWithArgument: C:\Users\JKB\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\JKB\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run*.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

spawciu Z tego co rozumiem on po prostu zapłacił haracz i dostał decrypter od przestępców. Ta metoda tylko, gdy się ma już nóż na gardle i utracone pliki są tak ważne, że nie da się bez nich żyć. t6p Zajmę się Twoim tematem w wolnej chwili, bo teraz mam zalew innych tematów z adware i nie wyrabiam. Na szybko: To jest biznes. A im więcej osób płaci, tym większa ochota by kontynuować proceder. Mówiłam wcześniej o "braku gwarancji", bo czytałam o przypadkach, że ktoś zapłacił i dostał niedziałający klucz. Potem podam odpowiedni skrypt do FRST.

Ze zmęczenia opuściłam jeden sponsorowany wpis Bing przywracający śmieci w preferencjach przeglądarek. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKU\S-1-5-21-252401917-279108963-3015472662-1001\...\Run: [bingSvc] => C:\Users\admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\admin\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\admin\Desktop\Stare dane programu Firefox CMD: del /q "C:\Users\admin\AppData\Local\Google\Chrome\User Data\Profile 1\Web Data" CMD: del /q C:\Users\admin\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie kolejny fixlog.txt. 2. Wykonaj po raz drugi reset Firefox. Ponadto, podobnie postąp z Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Sytuacja wygląda tak: - Java nie jest obecnie poprawnie zainstalowana (w FRST Addition brak takiej pozycji na liście zainstalowanych), ale w systemie są odpadki wersji Java 31 widoczne na poziomie wtyczek do przeglądarek. Nie dość, że to uszkodzona instalacja, to jeszcze stara wersja, najnowsza to Java 66. - By poprawnie usunąć te odpadki, trzeba posłużyć się specjalistycznym usuwaczem firmowym, przy czym ten usuwacz sam do swojego działania wymaga Java i nie może być użyty do usunięcia jedynej wersji Java obecnej w systemie (w tym przypadku te szczątki Java 31), musi mieć jakąś inną Java z którą zadziała. - Dlatego masz zainstalować najnowszą Java 66, po tym uruchomić usuwacz do Java który skorzysta z Java 66, by skasować odpadki Java 31. Mam nadzieję, że ten trik zadziała, w przeciwnym wypadku trzeba będzie ręcznie wywalać Java 31.

Do przeprowadzenia następujące operacje: 1. Deinstalacje: - Odinstaluj zbędniki AVG Web TuneUp, HP Customer Participation Program 13.0, REACHit. Ten ostatni delikwent to niechciana instalacja wymuszna techniką "PUP". - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Abi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644687&z=2f07f83743f2f9bc147c009gczcz4t7q7zdzdq7b1c&from=ient07021&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 ShortcutWithArgument: C:\Users\Public\Desktop\Play Euro Truck Simulator 2 Multiplayer.lnk -> C:\Program Files (x86)\Euro Truck Simulator 2 Multiplayer\launcher.exe (ETS2MP Team) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644687&z=2f07f83743f2f9bc147c009gczcz4t7q7zdzdq7b1c&from=ient07021&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449644687&z=2f07f83743f2f9bc147c009gczcz4t7q7zdzdq7b1c&from=ient07021&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKU\S-1-5-21-3847855972-3002420087-1142518147-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644687&z=2f07f83743f2f9bc147c009gczcz4t7q7zdzdq7b1c&from=ient07021&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms} HKU\S-1-5-21-3847855972-3002420087-1142518147-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644687&z=2f07f83743f2f9bc147c009gczcz4t7q7zdzdq7b1c&from=ient07021&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms} SearchScopes: HKU\S-1-5-21-3847855972-3002420087-1142518147-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3847855972-3002420087-1142518147-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-3847855972-3002420087-1142518147-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 Task: {135D86D9-737A-4E48-B50D-46E92641E737} - System32\Tasks\{DCBF8732-9BCF-43B7-8B8F-4A4A9818293F} => pcalua.exe -a "D:\Programy\Sterowniki lapek\Stery\IN1WLN70WW1.exe" -d "D:\Programy\Sterowniki lapek\Stery" Task: {208A3324-87C2-49BF-802C-82C5F1A0EF71} - System32\Tasks\PCOF => C:\Users\Abi\AppData\Roaming\PCOF.exe Task: {2FAEDEEA-D79C-46AA-8F66-CD0EDD015AEA} - System32\Tasks\{241D0177-6E07-4D1C-81A4-158DB340A70B} => C:\Users\Abi\Desktop\ProxyFinder.exe Task: {40B98BB2-4C47-412D-B3AA-CED1D1A5A29F} - System32\Tasks\{FB128A9D-3C8C-43ED-8152-9533CC3B9D1D} => pcalua.exe -a "D:\Programy\Sterowniki lapek\Stery\IN1TBT03WW5.exe" -d "D:\Programy\Sterowniki lapek\Stery" Task: {582A9711-35C8-42DC-83D2-06BCE9629AA6} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {77BAAFFF-F245-4973-8D76-DA8068601984} - System32\Tasks\{B1CF4304-5A90-4E4C-932D-7AFAF5F2718C} => pcalua.exe -a "D:\Programy\Sterowniki lapek\Stery\IN1IPS03WW5.exe" -d "D:\Programy\Sterowniki lapek\Stery" Task: {AC3C5091-E68C-49D3-8A23-B9BC563EADD0} - System32\Tasks\{36BE186F-B880-4802-9495-B324D1A9EEF6} => pcalua.exe -a "D:\Programy\stery HP c3180.exe" -d D:\Programy Task: {E7895A30-25A5-4DBC-8792-FE1764FDC3B5} - System32\Tasks\{66024759-9582-4639-825D-8859DCC38CC5} => pcalua.exe -a C:\Users\Abi\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=tugs Task: {F0E3F864-EC7C-487D-8E1F-7E32EC81DDA6} - System32\Tasks\{C4E16B32-3D7D-447A-A4D6-7A0A15D1E696} => pcalua.exe -a "D:\Programy\Sterowniki lapek\Stery\IN1CHP27WW5.exe" -d "D:\Programy\Sterowniki lapek\Stery" Task: C:\Windows\Tasks\PCOF.job => C:\Users\Abi\AppData\Roaming\PCOF.exe S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\Dr.Fone for Android\DriverInstall.exe" [X] C:\Program Files (x86)\Wondershare C:\ProgramData\JWdMJ C:\ProgramData\UWdMU C:\ProgramData\Wondershare C:\Users\Abi\.android C:\Users\Abi\AppData\Local\nsh4E70.tmp C:\Users\Abi\AppData\Local\nsxF9BC.tmp C:\Users\Abi\AppData\Local\Wondershare C:\Users\Abi\AppData\Local\Microsoft\Windows\GameExplorer\{10CD0FDE-CE8F-4659-8915-8EB56B3936D4} C:\Users\Abi\AppData\Roaming\LSGKZOLJ C:\Users\Abi\AppData\Roaming\OPKUK C:\Users\Abi\AppData\Roaming\PCOF C:\Users\Abi\AppData\Roaming\Thumbs.db C:\Users\Abi\AppData\Roaming\HMYGSetting C:\Users\Abi\AppData\Roaming\Wondershare C:\Users\Abi\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Windows\pss\deltemp.bat.Startup C:\Windows\SysWOW64\pl.html Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Abi^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^deltemp.bat" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Browser Extensions" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EPLTarget" /f CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Posty połączyłam do oczekiwanej na starcie formy. Oczywiście odpowiadasz mi już w nowych postach, nie edytuj pierwszego. Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Amazon 1Button App. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Slawomir\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\tWdMt\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Slawomir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 ShortcutWithArgument: C:\Users\Slawomir\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} HKU\S-1-5-21-3747367151-4080275244-1175166767-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 HKU\S-1-5-21-3747367151-4080275244-1175166767-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} SearchScopes: HKU\S-1-5-21-3747367151-4080275244-1175166767-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} SearchScopes: HKU\S-1-5-21-3747367151-4080275244-1175166767-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} SearchScopes: HKU\S-1-5-21-3747367151-4080275244-1175166767-1001 -> {E8DC851D-7E83-48B0-93E7-5F9290CC82B5} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 CHR HomePage: Default -> gazeta.allplayer.org/ CHR HKU\S-1-5-21-3747367151-4080275244-1175166767-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx CHR HKLM-x32\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx HKLM\...\Run: [WavesSvc] => "C:\Program Files\Realtek\Audio\HDA\WavesSvc64.exe" Task: {17107572-2329-4D6C-A423-1F0C7F4D8651} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {23B03DE9-680A-4EAE-A236-0FB22450AFBE} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {27513359-B4F8-4893-BD58-BD791970C28D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {2BDF76F6-4028-4838-8B41-29827793E26B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {3166B31A-2F69-48A1-AB59-9CE86CAF4C9F} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {4667AD38-9430-4B2A-995F-472D190642F5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {9F3D9ABF-F132-4318-BE37-06F5CD1FF18C} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {B150F8DE-12B7-4938-9C4C-9C46F561DBBF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {CE74D58A-A2E2-4B5F-880D-89C8A8C0D5CF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {D3E22CBA-38A4-4030-B39D-8CAC75434F90} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {DCB07C8E-3643-44D5-9706-FB1B67ACCF8B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {DE83BA88-6CE7-4028-9278-44427DD98DCD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\{AA6BF06E-316C-487A-9BC2-5F06A43C56B1} C:\ProgramData\gWMiniProg C:\ProgramData\lWdMl C:\ProgramData\tWdMt C:\Users\Slawomir\AppData\Roaming\eCyber C:\Users\Slawomir\AppData\Roaming\istartsurf C:\Users\Slawomir\AppData\Roaming\TSv C:\Users\Slawomir\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\pl.html Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: type "C:\Windows\System32\Tasks\McAfee\McAfee Idle Detection Task" CMD: type "C:\Windows\System32\Tasks\McAfee\McAfee Auto Maintenance Task Agent" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Do wykonania następujące działania: 1. Deinstalacje: - Poprzez Panel sterowania: Adobe AIR, Adobe Reader X (10.1.13) MUI, Surfing Protection. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. To odpadek po niechcianej instalacji Lenovo REACHit. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} HKU\S-1-5-21-252401917-279108963-3015472662-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} SearchScopes: HKU\S-1-5-21-252401917-279108963-3015472662-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} CHR HKU\S-1-5-21-252401917-279108963-3015472662-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx Task: {A7128EF3-E9BB-40DB-A807-1C7187921A1A} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKU\S-1-5-21-252401917-279108963-3015472662-1001\...\MountPoints2: {8d15eacd-77a1-11e2-a143-806e6f6e6963} - E:\DisneySplash.exe C:\Users\admin\Documents\Euro Truck Simulator 2\readme.rtf.lnk RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\admin\AppData\Local\Lenovo RemoveDirectory: C:\Users\admin\AppData\Local\Opera Software RemoveDirectory: C:\Users\admin\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\admin\AppData\Roaming\Shortcut RemoveDirectory: C:\Users\admin\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\admin\REACHit RemoveDirectory: C:\Windows\System32\Tasks\Lenovo Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Kolejne poprawki: 1. Czy na pewno wykonałeś reset synchronizacji Google? Otóż po założeniu świeżego profilu Chrome pojawiły się wpisy adware. Wnioski: są ładowane z serwera Google. Pod tym kątem: Do wykonania Opcja 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy adware www.sweet-page.com, www.default-search.net, przestaw na "Otwórz stronę nowej karty" 2. Otwórz Notatnik i wklej w nim: BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre7\bin\ssv.dll => Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll => Brak pliku FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.29.1\npGoogleUpdate3.dll [brak pliku] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.29.1\npGoogleUpdate3.dll [brak pliku] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] Task: {7649819D-93A1-4634-AA43-D6F17C8ADB3F} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {BF6E0D1E-39E6-41F4-8B38-9A31B6908463} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox CMD: del /q "C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi" CMD: del /q C:\Users\user\Downloads\SASUNINST*.EXE CMD: del /q C:\Windows\Reimage.ini CMD: sfc /scanfile=C:\Windows\SysWOW64\User32.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Pobierz najnowszy AdwCleaner. Uruchom, wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.