picasso

Wszystko pomyślnie wykonane. Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu, oraz zaktualizuj produkty Adobe: KLIK.

Posty posprzątałam, nieodpowiednie logi usunięte. Nie sądzę, że zmiana nazwy FRST ma coś do rzeczy, bo w raporcie nie ma oznak infekcji blokującej FRST po nazwie. Moim zdaniem blokuje FRST Avast. Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Java 7 Update 51 (64-bit), Java 7 Update 65. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\5WdM5\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin 2\Uruchom Wiedźmin 2.lnk -> C:\Program Files (x86)\Wiedźmin 2\Launcher.exe (CD Projekt RED) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\Users\Public\Desktop\Uruchom Wiedźmin 2.lnk -> C:\Program Files (x86)\Wiedźmin 2\Launcher.exe (CD Projekt RED) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 StartMenuInternet: Google Chrome - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms} HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms} HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms} SearchScopes: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004 -> {C1C553CA-F960-45C7-A40F-724182852F6C} URL = SearchScopes: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [2014-08-04] CHR HKLM-x32\...\Chrome\Extension: [jofdlbdmefjogcipddjnblinigmpagoj] - C:\Program Files (x86)\Lyrmix\Chrome.crx CustomCLSID: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Basia\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\...\MountPoints2: {79b77b12-5a95-11e2-be90-50b7c324289a} - "E:\LaunchU3.exe" -a HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\ProgramData\5WdM5 C:\ProgramData\yWdMy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldUnlock Calculator C:\Users\Basia\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk C:\Users\Basia\Documents\instalki\Office 2010 dla Uytkownikw Domowych i Maych Firm Trial_1357480952345.lnk C:\Users\Basia\Documents\instalki\Microsoft Download Manager_1357479905269.lnk Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Nikon Message Center 2" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "QuickTime Task" /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Temat rozwiązany. Zamykam. Co do odwdzięczania się, to możesz wspomóc mój serwis przez dotację (link w sygnaturze). Oczywiście nie jest to obligatoryjne.

Najbardziej specjalizowanym i najlepszym narzędziem do usuwania adware jest AdwCleaner, którym się już posługiwałeś. Po prostu jeszcze nie zawiera definicji tego hijackera. Przeważnie tak właśnie jest: najpierw pojawia się infekcja na forum, nie ma definicji w narzędziach i są dodane później. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\QWdMQ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-09-28] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3381551172-2302675559-2523391916-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = C:\ProgramData\QWdMQ C:\ProgramData\rWdMr C:\Windows\SysWOW64\pl.html Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Ostatnie zadanie wykonane. Kończymy: 1. Skasuj pobrane narzędzia i ich logi z folderu K:\Download 2. Następnie zastosuj DelFix oraz wyczyść folder Przywracania systemu: KLIK. 2. Do aktualizacji Adobe Reader oraz cały Windows. Stan obecny: Platform: Windows 7 Ultimate (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: FF) ==================== Zainstalowane programy ====================== Adobe Reader X (10.1.3) MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.3 - Adobe Systems Incorporated)

Wprawdzie w większości usunęliśmy poprzednie adware, ale już zdążyło się zainstalować kolejne (niejaki Reimage Repair). Poza tym, nie wyczyściłeś w ogóle przeglądarek. Widzę też nadal strasznie stary SUPERAntiSpyware ciągle uruchomiony. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {79CBEE10-9A7B-4E6B-A4DA-DBE465072376} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2015-11-10] (Reimage ltd.) Task: {ADE30E85-F85B-489B-AE87-3CABC12D3BE0} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2015-08-19] (Reimage®) R2 !SASCORE; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [128752 2010-06-29] (SUPERAntiSpyware.com) [brak podpisu cyfrowego] R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [7743472 2015-08-19] (Reimage®) R1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [14920 2010-02-17] (SUPERAdBlocker.com and SUPERAntiSpyware.com) R1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [12360 2010-02-17] (SUPERAdBlocker.com and SUPERAntiSpyware.com) R3 cpuz134; \??\C:\Users\user\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 oxrnukkok; C:\Program Files (x86)\ophcrack\pwdump\servpw.exe [X] HKU\S-1-5-21-3902127326-1100159256-351901547-1000\...\Run: [sUPERAntiSpyware] => C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [2988784 2010-10-25] (SUPERAntiSpyware.com) FF Plugin-x32: @java.com/DTPlugin,version=10.51.2 -> C:\Program Files (x86)\Java\jre7\bin\dtplugin\npDeployJava1.dll [2013-12-18] (Oracle Corporation) FF Plugin-x32: @java.com/JavaPlugin,version=10.51.2 -> C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll [2013-12-18] (Oracle Corporation) RemoveDirectory: C:\Program Files\SUPERAntiSpyware RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\ProgramData\NortonInstaller RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software CMD: del /q C:\Users\user\Downloads\ReimageRepair.exe CMD: del /q C:\Users\user\Downloads\Setup.exe CMD: del /q C:\Users\user\Downloads\x3h795zg.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Odinstaluj Reimage Repair. Następnie uruchom SUPERAntiSpyware Uninstaller Assistant, niezależnie czy już to robiłeś wcześniej. 3. Zaległe czyszczenie przeglądarek: . 4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko pomyślnie wykonane, choć odinstalowałeś Firefox zamiast go wyczyścić, co i tak zostawiło profil FF z adware na dysku i kolejna świeża instalacja Firefox załaduje to adware. Kolejne poprawki: 1. Ustaw Internet Explorer jako domyślną przeglądarkę, obecnie brak wyasygnowanej. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Adobe swMSM > Dalej. 3. Otwórz Notatnik i wklej w nim: (EasyBits Software AS) C:\Windows\SysWOW64\ezSharedSvcHost.exe R2 ezSharedSvc; C:\Windows\SysWOW64\ezSharedSvcHost.exe [514232 2010-04-23] (EasyBits Software AS) [brak podpisu cyfrowego] S3 clwvd; system32\DRIVERS\clwvd.sys [X] Task: {7CB2E5B9-9B18-409E-87A3-E7C2C47E105C} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-10-28] (Adobe Systems Incorporated) HKLM-x32\...\Run: [Magic Desktop for HP notification] => C:\ProgramData\Easybits Magic Desktop for HP\mdhpSUN.exe [1444880 2015-11-26] (Easybits) HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-1590238946-3112356359-1456329767-1000\...\Run: [Adobe Reader Synchronizer] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AdobeCollabSync.exe" BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku FirewallRules: [{9B8C8A2C-7C2C-4270-A270-4CAC906EE570}] => (Allow) C:\Windows\system32\ezSharedSvcHost.exe FirewallRules: [{4FD5DA3C-5AE4-4912-83BA-291517287AF0}] => (Allow) C:\Program Files (x86)\EasyBits For Kids\ezDesktop.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Common Files\Adobe RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\CyberLink RemoveDirectory: C:\ProgramData\Easybits Magic Desktop for HP RemoveDirectory: C:\Users\Tomek\AppData\Local\Mozilla RemoveDirectory: C:\Users\Tomek\AppData\Roaming\Mozilla CMD: del /q C:\Windows\SysWOW64\ezSharedSvcHost.exe Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\CLKMSVC10_38F51D56" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BDRegion" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Easybits Recovery" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RemoteControl10" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 4. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix wykonany. Kończymy: Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione, adware pomyślnie usunięte. Drobne poprawki na uprzednio brakującą część raportu głównego FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\HWdMH RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\Users\Robert\REACHit RemoveDirectory: C:\Users\Robert\AppData\Local\Avg RemoveDirectory: C:\Users\Robert\AppData\Roaming\AVG RemoveDirectory: C:\Users\Robert\AppData\Roaming\Shortcut RemoveDirectory: C:\Users\Robert\Desktop\Stare dane programu Firefox RemoveDirectory: C:\zoek_backup CMD: del /q C:\WINDOWS\SysWOW64\pl.html Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi już potrzebne.

Poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\V9 DeleteKey: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\delta-homes.com DeleteKey: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.delta-homes.com DeleteKey: HKCU\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\delta-homes.com DeleteKey: HKCU\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.delta-homes.com DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\delta-homesSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\omniboxesSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9 DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\KMSpico RemoveDirectory: C:\ProgramData\8WdsManPro8 RemoveDirectory: C:\ProgramData\SWdsManProS RemoveDirectory: C:\Users\Pawel\AppData\Roaming\WinZipper RemoveDirectory: C:\Windows\system32\log RemoveDirectory: C:\Windows\system32\Tasks\Lenovo RemoveDirectory: C:\zoek_backup Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi potrzebne.

Log z FRST źle skonfigurowany, sekcje "MD5 sterowników" i "Lista BCD" nie miały być zaznaczone. Do wykonania następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\DWdMD\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\JKB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX ShortcutWithArgument: C:\Users\JKB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX ShortcutWithArgument: C:\Users\JKB\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX ShortcutWithArgument: C:\Users\JKB\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} HKU\S-1-5-21-3582058436-4257138138-2262642435-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX HKU\S-1-5-21-3582058436-4257138138-2262642435-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} SearchScopes: HKU\S-1-5-21-3582058436-4257138138-2262642435-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX C:\Program Files (x86)\AVG C:\ProgramData\Auslogics C:\ProgramData\AVG C:\ProgramData\DWdMD C:\ProgramData\SWdMS C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\Users\JKB\AppData\Local\Avg C:\Users\JKB\AppData\Roaming\AVG C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko zrobione, hijacker usunięty. Teraz drobne poprawki: 1. Otwórz Notatnik i wklej w nim: (Amazon Inc.) C:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe R2 Amazon 1Button App Service; C:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe [456000 2015-09-17] (Amazon Inc.) IE trusted site: HKU\.DEFAULT\...\amazon.com -> amazon.com IE trusted site: HKU\S-1-5-21-1379735399-1450969573-2400207767-1001\...\amazon.com -> amazon.com Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: del /q C:\Users\Zuzanna\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Amazon RemoveDirectory: C:\Users\Zuzanna\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Hijacker wślizgnął się przypuszczalnie z jakiegoś "Asystenta pobierania": KLIK. Był tu niepotrzebne stosowany ComboFix, na ten temat: KLIK. Obecnie to nawet nie jest dobry program do czyszczenia adware, są inne bardziej specjalizowane. Przeprowadź następujące działania: 1. Odinstaluj wątpliwy skaner SpyHunter 4. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 ShortcutWithArgument: C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 ShortcutWithArgument: C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 ShortcutWithArgument: C:\Users\Public\Desktop\FIFA 15.lnk -> E:\Program Files (x86)\FIFA 15\FIFA 15\Launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} SearchScopes: HKU\S-1-5-21-4265689537-3529688487-1946468061-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4265689537-3529688487-1946468061-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4265689537-3529688487-1946468061-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia Task: {3E2EC08B-73CA-46FB-874A-271FABADA93E} - \Steam_x64-S-2-106-91 -> Brak pliku Task: {9E8E992F-D811-4698-AF9F-5C93310C695C} - System32\Tasks\{6B8F8BFA-4EC5-41E3-868D-B7ED528CB070} => pcalua.exe -a C:\Users\7\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll [brak pliku] U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] U4 CmdAgent; Brak ImagePath S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files\ACD Systems C:\Program Files (x86)\Google C:\Program Files (x86)\Opera C:\ProgramData\Avg C:\ProgramData\FWdMF C:\ProgramData\lWdMl C:\ProgramData\MFAData C:\Users\7\AppData\Local\ACD Systems C:\Users\7\AppData\Local\Avg C:\Users\7\AppData\Local\AvgSetupLog C:\Users\7\AppData\Local\Google C:\Users\7\AppData\Local\MFAData C:\Users\7\AppData\Roaming\AVG C:\Users\7\AppData\Roaming\Enigma Software Group C:\Users\7\AppData\Roaming\TuneUp Software C:\Users\7\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\7\Downloads\SpyHunter-Installer.exe C:\Windows\pss\Download.lnk.Startup C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\SysWOW64\pl.html Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^7^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Download.lnk" / Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VCVS01EN" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f DisableService: PLAY ONLINE. RunOuc CMD: net user ASPNET /delete CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko zrobione. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WdMan RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Windyy\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi potrzebne.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Widać, że conamniej jeden raz pobierałeś coś z dobrychprogramów, więc przypuszczalnie adware wprowadził "Asystent pobierania" tegoż portalu: KLIK. Wykonaj następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\2WdM2\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files\Opera x64\opera.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951&q={searchTerms} HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951&q={searchTerms} HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951&q={searchTerms} CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951" FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt Task: {12D9F354-35AA-427E-820C-A22E62FE12B4} - System32\Tasks\{EAA4EF60-AFB2-4196-9323-159EBD537A9C} => pcalua.exe -a G:\Setup.exe -d G:\ Task: {48E333C3-1F80-48B8-B720-2367A1C97CCC} - System32\Tasks\{CD7F73B2-FEBE-4F61-A79F-7EE4ED111CC4} => Firefox.exe hxxp://ui.skype.com/ui/0/6.0.0.126.259/pl/go/help.faq.installer?LastError=1618 Task: {9E30BCEB-5EBC-4164-ABD5-FC76031CE1D5} - System32\Tasks\{773502F5-1059-4B0D-BFF8-211E95E7D3C2} => pcalua.exe -a "C:\Users\Franciszek\Desktop\Pobrane\Nowy folder (3)\Driver\DriverUninstall.exe" -d "C:\Users\Franciszek\Desktop\Pobrane\Nowy folder (3)\Driver" Task: {BB24DAC6-4E23-430C-B068-0479C66DC91C} - System32\Tasks\{44C9A943-829E-4E19-8CBC-0AD0FC27FADF} => Firefox.exe hxxp://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?source=lightinstaller&page=tsMain HKLM-x32\...\Run: [bEWINTERNET-PL-IEWSessionManager] => "C:\Program Files (x86)\OrangeBS\BEWInternet-PL-IEW\SessionManager\SessionManager.exe" Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-19\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} HKU\S-1-5-20\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} HKU\S-1-5-18\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\...\Run: [KiesAirMessage] => C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\...\Run: [AirDroid 3] => C:\Program Files (x86)\AirDroid\AirDroid.exe /start U0 ledhxv; C:\Windows\System32\drivers\kvxnql.sys [79064 2015-12-09] (Malwarebytes) S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S3 clwvd6; \SystemRoot\system32\DRIVERS\clwvd6.sys [X] S3 CV2K1; \SystemRoot\system32\DRIVERS\cv2k1.sys [X] S3 ewusbmbb; \SystemRoot\system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S3 pccsmcfd; \SystemRoot\system32\DRIVERS\pccsmcfdx64.sys [X] C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\2WdM2 C:\ProgramData\nWdMn C:\ProgramData\Microsoft\Windows\Start Menu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk C:\Spacekace C:\Users\Franciszek\AppData\Local\SelfExtractible.zip C:\Users\Franciszek\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Franciszek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Freezip.lnk C:\Users\Public\Desktop\FileViewPro.lnk C:\Users\Franciszek\Desktop\Ikony\Adobe Reader XI.lnk C:\Users\Franciszek\Desktop\Ikony\ImgBurn.lnk C:\Windows\system32\Drivers\kvxnql.sys Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Creative Cloud" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (ręcznie włącz ponownie). 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Addition uzupełniony, ale nie zauważyłam, że log główny FRST.txt jest niepoprawny i urwany do połowy, więc na razie usuwanie tylko tego co widać. Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH ShortcutWithArgument: C:\Users\Robert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH ShortcutWithArgument: C:\Users\Robert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH Edge HomeButtonPage: HKU\S-1-5-21-884423482-3915767466-712464105-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH HKU\S-1-5-21-884423482-3915767466-712464105-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH SearchScopes: HKU\S-1-5-21-884423482-3915767466-712464105-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH&q={searchTerms} SearchScopes: HKU\S-1-5-21-884423482-3915767466-712464105-1001 -> {25280AAC-302D-47BF-9988-F432D30F8069} URL = SearchScopes: HKU\S-1-5-21-884423482-3915767466-712464105-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH&q={searchTerms} HKU\S-1-5-21-884423482-3915767466-712464105-1001\...\Run: [AdobeBridge] => [X] Task: {065B604A-EB7C-4B23-84B1-31DA79FAE9F7} - System32\Tasks\PDVDServ Task => C:\Program Files (x86)\Lenovo\PowerDVD10\PDVD10Serv.EXE Task: {1B75C99D-78D1-471F-AE36-C88F5D3504C0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {29A9FFAB-068A-469C-9379-7285634F251C} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {2A40B27E-51C4-431F-AA9C-B5311F476F8C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {3100B651-17A2-4FA9-BFCB-7B5BC222BE2A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {34E34863-591E-4411-997F-5AE8B74509FB} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {3C7E2883-AAC9-459E-9967-67157CE3BA8B} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe Task: {4C88379A-AE16-412B-82C1-F0863A206397} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {63432EA8-CE0A-4938-96E6-93A7625AD9BC} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {672850B1-E713-429C-9AD1-5FDE52AE31C3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {70BE309C-7D07-42F3-80B8-13875D1485E5} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe Task: {8E5E41B0-3900-495C-B6F7-73C23B34D628} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A84CBEE1-C4B4-42D1-AA05-00FBFDB4FBCA} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe Task: {B4E31CF2-3E8D-4A9E-A819-FBB0F227DF5F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C7929347-7040-4186-B30E-694B17034AAD} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {E20E923C-C770-4A40-995F-EE53BF72F849} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {E953240C-D2E0-471D-954D-54D1F8FA38D8} - System32\Tasks\Lenovo App Services => C:\ProgramData\Lenovo App Services\Engine\LenovoAppServices.exe S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] C:\Users\Robert\AppData\Local\Opera Software C:\Users\Robert\AppData\Roaming\Opera Software C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Subtitle Workshop\Help\Manual*.lnk C:\Users\Public\Desktop\KMPFaster.lnk Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom Zoek. W oknie wklej: Metric Collection SDK;u Metric Collection SDK 35;u Klik w Run Script. W eksploratorze Windows menu Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > odznacz Ukryj rozszerzenia znanych plików i zmień ręcznie rozszerzenie wynikowego pliku na zoek-results.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i zoek-results.txt. Potwierdź ustąpienie problemów.

zerx, link wymazany! To jest jeden z owych sponsorowanych opisów mijających się z prawdą. Celem jest tylko pobranie wątpliwego skanera SpyHunter, który nie odkoduje plików wcale.

Tym razem log FRST źle skonfigurowany: opcje "MD5 sterowników" + "Lista BCD" nie miały być zaznaczone... Problem stanowią wpisy AppInit_DLLs kierujące na moduły Lightzap odnawiające te przekierowania. Operacje do wykonania: 1. Odinstaluj stare wersje: Adobe Reader X (10.1.16) MUI, Adobe Shockwave Player 12.1, Java™ 6 Update 24 (64-bit), Java™ 6 Update 24. Przewertuj też inne aplikacje i czego nie używasz również odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Lightzap\Plusreddom.dll => C:\ProgramData\Lightzap\Plusreddom.dll [518656 2015-12-09] () AppInit_DLLs-x32: C:\ProgramData\Lightzap\Topsailtom.dll => C:\ProgramData\Lightzap\Topsailtom.dll [320512 2015-12-09] () S2 Lightzap; C:\ProgramData\\Lightzap\\Lightzap.exe -f "C:\ProgramData\\Lightzap\\Lightzap.dat" -l -a S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-09] () HKU\S-1-5-21-1590238946-3112356359-1456329767-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpckxO3PQdmsdB8UbwxBWOZSNtCRnWs0QAPr6yg-8BwQHv1FXLKxPpYOWpnvZumlV7VjUmSyejsWCGttYUzfajqN2iHyxTbmCZEss3dk1roL27LYl6H21e6jfpwLVe9CVjCL4ky-7yktbw,, HKU\S-1-5-21-1590238946-3112356359-1456329767-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpckxO3PQdmsdB8UbwxBWOZSNtCRnWs0QAPr6yg-8BwQHv1FXLKxPpYOWpnvZumlV7nPgOqaXg_anCBfgVtjll6KgvQ7Yu0Zzy1wW6xsyIUtfNd2dKP2GeRkYuuWbfb9iZ_gjrECTnu8Gg,,&q={searchTerms} HKU\S-1-5-21-1590238946-3112356359-1456329767-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpckxO3PQdmsdB8UbwxBWOZSNtCRnWs0QAPr6yg-8BwQHv1FXLKxPpYOWpnvZumlV7nPgOqaXg_anCBfgVtjll6KgvQ7Yu0Zzy1wW6xsyIUtfNd2dKP2GeRkYuuWbfb9iZ_gjrECTnu8Gg,,&q={searchTerms} HKU\S-1-5-21-1590238946-3112356359-1456329767-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpckxO3PQdmsdB8UbwxBWOZSNtCRnWs0QAPr6yg-8BwQHv1FXLKxPpYOWpnvZumlV7nPgOqaXg_anCBfgVtjll6KgvQ7Yu0Zzy1wW6xsyIUtfNd2dKP2GeRkYuuWbfb9iZ_gjrECTnu8Gg,,&q={searchTerms} SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=HPNTDF&pc=HPNTDF&src=IE-SearchBox SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpckxO3PQdmsdB8UbwxBWOZSNtCRnWs0QAPr6yg-8BwQHv1FXLKxPpYOWpnvZumlV7nPgOqaXg_anCBfgVtjll6KgvQ7Yu0Zzy1wW6xsyIUtfNd2dKP2GeRkYuuWbfb9iZ_gjrECTnu8Gg,,&q={searchTerms} SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKU\S-1-5-21-1590238946-3112356359-1456329767-1000 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKU\S-1-5-21-1590238946-3112356359-1456329767-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpckxO3PQdmsdB8UbwxBWOZSNtCRnWs0QAPr6yg-8BwQHv1FXLKxPpYOWpnvZumlV7nPgOqaXg_anCBfgVtjll6KgvQ7Yu0Zzy1wW6xsyIUtfNd2dKP2GeRkYuuWbfb9iZ_gjrECTnu8Gg,,&q={searchTerms} Task: {95230BBE-A5E0-41F0-A4A2-1DE6E9594693} - System32\Tasks\{35A59853-6A85-4FD2-95FD-627815B88FF0} => pcalua.exe -a "C:\Program Files (x86)\WinRAR\WinRAR.exe" -d C:\Users\Tomek\Desktop -c "C:\Users\Tomek\Desktop Task: {E9DE53ED-B4B8-440E-8131-6E52DB6B339A} - System32\Tasks\{38601B00-F9EF-4B24-8C60-C5089F39D9AA} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Zamzozwarm\uninstall.exe" -c -f "C:\Program Files (x86)\Common Files\Zamzozwarm\uninstall.dat" -a uninstallme B6EDBCB0-7A3B-4682-BB8B-EE124B2E12CA DeviceId=d1dd2932-58f5-97d7-fcac-44522e886b18 BarcodeId=50028003 ChannelId=3 DistributerName=APSFIsc HKLM-x32\...\Run: [] => [X] C:\ProgramData\lscb.lc C:\ProgramData\Lightzap C:\ProgramData\Lightzaps C:\Users\Tomek\AppData\Roaming\*.* C:\Users\Tomek\Desktop\Ze starego komputera\WA-PRO\Mozilla Firefox.lnk C:\Users\Tomek\Desktop\Ze starego komputera\WAZNE\Skype.lnk C:\Windows\System32\drivers\EsgScanner.sys C:\Windows\SysWOW64\findit.xml CMD: for /d %f in (C:\Users\Tomek\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Operacje do wdrożenia: 1. Deinstalacje zbędników: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Amazon 1Button App, Host App Service, Lenovo Experience Improvement, SHAREit (jeśli nie korzystasz), Start Menu. Host App Service + Start Menu to wątpliwej reputacji aplikacje Pokki integrowane na Lenovo, które zresztą już wyglądają na naruszone jakimś działaniem. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Zuzanna\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\tWdMt\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S1 wfdrvr_vw_1_10_0_28; system32\drivers\wfdrvr_vw_1_10_0_28.sys [X] ShortcutWithArgument: C:\Users\Zuzanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 ShortcutWithArgument: C:\Users\Zuzanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 ShortcutWithArgument: C:\Users\Zuzanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447961168&z=acdbe4dd161e92fa45b4404g2z9z0mctbqbe9b3w3b&from=cor&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Zuzanna\AppData\Roaming\Mozilla\Firefox\Profiles\bnqkxdrh.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Zuzanna\AppData\Roaming\Mozilla\Firefox\Profiles\bnqkxdrh.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Zuzanna\AppData\Roaming\Mozilla\Firefox\Profiles\bnqkxdrh.default\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Zuzanna\AppData\Roaming\Mozilla\Firefox\Profiles\bnqkxdrh.default\extensions\yahooprotected@gmail.com => nie znaleziono HKU\S-1-5-21-1379735399-1450969573-2400207767-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1379735399-1450969573-2400207767-1001\...\Policies\Explorer: [] CustomCLSID: HKU\S-1-5-21-1379735399-1450969573-2400207767-1001_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1379735399-1450969573-2400207767-1001_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1379735399-1450969573-2400207767-1001_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll => Brak pliku Task: {7D687F2C-6642-40D5-9306-704222F4CF50} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe C:\Program Files (x86)\SFK C:\Program Files (x86)\WordFly_1.10.0.28 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\9WMiniPro9 C:\ProgramData\Pokki C:\ProgramData\tWdMt C:\ProgramData\vWdMv C:\Users\Zuzanna\AppData\Local\SweetLabs App Platform C:\Users\Zuzanna\AppData\Roaming\TSv C:\Users\Zuzanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Pomyliłeś się i załączyłeś plik fixlist, usunęłam. Brakuje za to nowego skanu FRST Addition.txt. Uzupełnij.

Wszystko pomyślnie wykonane i infekcja wyleczona. Teraz jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Proszę dołącz. PS. Na temat pobierania z dobrychprogramów: KLIK.

Posty dla porządku połączyłam. Oczywiście już udzielasz odpowiedzi w nowym poście, nie edytuj pierwszego. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\QWdMQ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-09] () S4 NVHDA; system32\drivers\nvhda64v.sys [X] ShortcutWithArgument: C:\Users\Windyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 ShortcutWithArgument: C:\Users\Windyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 ShortcutWithArgument: C:\Users\Windyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 ShortcutWithArgument: C:\Users\Windyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 ShortcutWithArgument: C:\Users\Windyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192&q={searchTerms} SearchScopes: HKU\S-1-5-21-67032335-2401925526-3629021281-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-67032335-2401925526-3629021281-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = StartMenuInternet: FIREFOX.EXE - D:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - D:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SMSetup C:\Program Files (x86)\Temp C:\ProgramData\8WdM8 C:\ProgramData\QWdMQ C:\Windows\system32\Drivers\EsgScanner.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.