chapej Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Witam, Proszę o pomoc i przesyłam załączniki. Dziękuję. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Do wykonania następujące działania: 1. Deinstalacje: - Poprzez Panel sterowania: Adobe AIR, Adobe Reader X (10.1.13) MUI, Surfing Protection. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. To odpadek po niechcianej instalacji Lenovo REACHit. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} HKU\S-1-5-21-252401917-279108963-3015472662-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} SearchScopes: HKU\S-1-5-21-252401917-279108963-3015472662-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} CHR HKU\S-1-5-21-252401917-279108963-3015472662-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx Task: {A7128EF3-E9BB-40DB-A807-1C7187921A1A} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKU\S-1-5-21-252401917-279108963-3015472662-1001\...\MountPoints2: {8d15eacd-77a1-11e2-a143-806e6f6e6963} - E:\DisneySplash.exe C:\Users\admin\Documents\Euro Truck Simulator 2\readme.rtf.lnk RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\admin\AppData\Local\Lenovo RemoveDirectory: C:\Users\admin\AppData\Local\Opera Software RemoveDirectory: C:\Users\admin\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\admin\AppData\Roaming\Shortcut RemoveDirectory: C:\Users\admin\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\admin\REACHit RemoveDirectory: C:\Windows\System32\Tasks\Lenovo Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
chapej Opublikowano 9 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Postępowałem zgodnie z instrukcjami i załączam nowe pliki. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Ze zmęczenia opuściłam jeden sponsorowany wpis Bing przywracający śmieci w preferencjach przeglądarek. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKU\S-1-5-21-252401917-279108963-3015472662-1001\...\Run: [bingSvc] => C:\Users\admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\admin\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\admin\Desktop\Stare dane programu Firefox CMD: del /q "C:\Users\admin\AppData\Local\Google\Chrome\User Data\Profile 1\Web Data" CMD: del /q C:\Users\admin\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie kolejny fixlog.txt. 2. Wykonaj po raz drugi reset Firefox. Ponadto, podobnie postąp z Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
chapej Opublikowano 9 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Wykonałem poprawki. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Wprawdzie Fix FRST wykonany, ale coś tu jest nie tak. Firefox był dwa razy resetowany, a ciągle wracają te oto śmieciowe preferencje: FF Homepage: hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 FF SelectedSearchEngine: Google FF DefaultSearchEngine: Google FF Keyword.URL: hxxp://www.bing.com/search?FORM=SK2MDF&PC=SK2M&q= Pytania: czy na pewno synchronizacja FF jest wyłączona, czy przypadkiem ręcznie nie wstawiasz jakiejś kopii zapasowej do nowego odświeżonego profilu? Odnośnik do komentarza
chapej Opublikowano 9 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Tak, synchronizacja w FF jest wyłączona. Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Niezrozumiałe skąd to wraca. Reset Firefox tworzy czysty profil, omawiane preferencje (w tym nieobsługiwany już nawet Keyword.URL) nie powinny mieć skąd wracać. W tej sytuacji: 1. Zamknij Firefox i upewnij się, że jego proces nie jest aktywny. Następnie wytnij na Pulpit poniższy plik: C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\p3o02fic.default-1449697798686\prefs.js Po akcji uruchom Firefox, powinien zrzucić świeży czysty plik prefs.js. 2. W Google Chrome też preferencje Bing stoją jak przyklejone. Wykonaj te akcje: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres msn.com. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy sponsorowany Bing. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Odnośnik do komentarza
chapej Opublikowano 9 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 W Google Chrome nie miałem ustawionego adresu msn.com a, wyszukiwarką był Google. FRST.txt Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Jeśli chodzi o Chrome, to nastąpiły zmiany od ostatniego raportu (w tym założenie kompletnie nowego profilu) i rzeczywiście nie ma już tych preferencji. Firefox zaś teraz wygląda OK, ten prefs.js z Pulpitu skasuj, do niczego już niepotrzebny. Wszystko zrobione. Kończymy: 1. Usuń drobny błąd WMI narzędziem Fix-it: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
chapej Opublikowano 9 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Wykonałem ostatnie instrukcje. Serdecznie dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi