ArekG Opublikowano 14 Grudnia 2015 Zgłoś Udostępnij Opublikowano 14 Grudnia 2015 Standardowy problem. Dziękuje bardzo za pomoc. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2015 Zgłoś Udostępnij Opublikowano 14 Grudnia 2015 Problemów jest o wiele więcej więcej, nie tylko przekierowania tytułowe: - Infekcja DNS, ustawione izraelskie DNS 199.203.131.145 - 82.163.143.167. - Zainfekowane moduły DLL Google Chrome, cała przeglądarka wymaga reinstalacji od zera. - Niepoprawnie odinstalowany zaśmiecony adware Firefox. Działania do przeprowadzenia: 1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Odinstaluj: - Adware: Picexa, WinZipper. - Stare wersje i zbędniki: Adobe AIR, Adobe Shockwave Player 12.1, Gadu-Gadu 10, HP Deskjet 3520 series — badanie mające na celu poprawę produktów, Java 8 Update 31 (64-bit), Java 8 Update 31, Java 8 Update 45 (64-bit), Java SE Development Kit 8 Update 45 (64-bit), Splashtop Connect IE. 3. Akcje tyczące Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Nie instaluj na razie nowej wersji Chrome, bo skrypt poniżej będzie doczyszczał elementy Google. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicyUsers\S-1-5-21-74317436-289575424-2793545732-1004\User: Ograniczenia GroupPolicyUsers\S-1-5-21-74317436-289575424-2793545732-1003\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449070826&z=3e0652d099aefd4070864dag7z9z0tee6m9e9baoab&from=ient07021&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG ShortcutWithArgument: C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449070826&z=3e0652d099aefd4070864dag7z9z0tee6m9e9baoab&from=ient07021&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG ShortcutWithArgument: C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449070826&z=3e0652d099aefd4070864dag7z9z0tee6m9e9baoab&from=ient07021&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447228033&z=3e6f03e8de92d5ddb4f2578g9z4zam4o9obbfe0m8w&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447228033&z=3e6f03e8de92d5ddb4f2578g9z4zam4o9obbfe0m8w&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447228033&z=3e6f03e8de92d5ddb4f2578g9z4zam4o9obbfe0m8w&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG&q={searchTerms} HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447228033&z=3e6f03e8de92d5ddb4f2578g9z4zam4o9obbfe0m8w&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG&q={searchTerms} URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445846513&from=zzgbkk123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445846513&from=zzgbkk123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t&q={searchTerms} SearchScopes: HKLM-x32 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = ${SEARCH_URL}{searchTerms} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1000 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445846513&from=zzgbkk123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t&q={searchTerms} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445846513&from=zzgbkk123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t&q={searchTerms} Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1450112037&z=b087b853da6a7e27a0eae5cg2z3wfeeg9g5o4e4cam&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG HKLM-x32\...\Run: [brMfcWnd] => C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN Task: {0314D8C7-59AF-4D85-9B18-E31E170E9778} - System32\Tasks\{E8580B0F-B0A8-4355-BDB2-A16B1A759468} => D:\Program Files (x86)\Counter Strike are 1.6\cstrike.exe Task: {04076DDB-F07E-4320-95EB-7F719C3517FD} - System32\Tasks\{B05C607C-7835-4B16-AFD6-937A4F5B9413} => D:\Program Files (x86)\skoki\Install.exe Task: {070532F8-641C-4A61-BC06-C8A755E4EE42} - System32\Tasks\{E972F878-8B27-4B1A-A62E-E81ECDEA597A} => pcalua.exe -a E:\paperport\InstPPSE.exe -d E:\paperport Task: {15AE09DC-7798-49EE-9B35-31AF75EE6BEF} - System32\Tasks\{9BF1FCB8-2394-4331-9410-A73D5E7F3335} => D:\dsj\DSJ.EXE Task: {16631207-1D6F-42BD-A383-4A1D332EE319} - System32\Tasks\{FC66398B-4959-42A4-BDD8-863A21EB1015} => D:\Program Files (x86)\skoki\Install.exe Task: {2A21855D-7662-444F-8E2E-8B7966C4533E} - System32\Tasks\{3AAEC18C-6E26-4914-82C7-3DF06B3EE662} => E:\autorun.exe Task: {2C18AA01-2FA3-4F68-9357-1CE3CF3512E5} - System32\Tasks\{378C477E-0F97-4A57-821C-B3B1032D75D1} => pcalua.exe -a "C:\Program Files (x86)\v9Soft\v9fft.exe" -c -uninstall -oem=fft -app=formatfactory -nation=pl Task: {3411DAB2-87CF-4C21-929A-90D864CC34C1} - System32\Tasks\{A9D1FB14-89BC-479F-B704-7488B6DF76F3} => D:\dsj\DSJ.EXE Task: {34D897AB-8B74-41A3-87FC-5356F403F66B} - System32\Tasks\{EBE08CB6-3E9D-419D-96BD-2FBD1C7442D8} => pcalua.exe -a E:\Install.exe -d E:\ Task: {3AC88106-4BD5-4FFD-A93D-CE9A189659E9} - System32\Tasks\{2FB6DA96-BD64-427A-8451-C07BD26EE6A4} => D:\dsj\DSJ.EXE Task: {3C5BA84D-7337-440C-A97A-099929E28F91} - System32\Tasks\{18A9217D-A84E-45F4-959F-99DB6FCEF21A} => pcalua.exe -a H:\Install.exe -d H:\ Task: {3CE9F55A-635C-4128-A09E-ADE4805F3D06} - System32\Tasks\{7520C830-0756-4B38-8A10-83F3DE30B28B} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{A3FEC306-FBFF-4B0D-95B9-F9C67C65079E}\Setup.exe" -c -runfromtemp -l0x0015 Brunin03.dll -removeonly Task: {3F636CB0-5D10-487D-A08C-008C0E4961A9} - System32\Tasks\{0A194A44-D101-498E-BF06-A438E8FC9020} => pcalua.exe -a C:\Users\AREK\Downloads\GameRangerSetup.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {45ED3FCE-B768-4B81-AA32-97C572FF8480} - System32\Tasks\{DC03A7FA-9E05-4B65-8DCD-1E4D22A03037} => D:\Program Files (x86)\skoki\Install.exe Task: {46106FDF-0597-430C-B9CC-238CDE4A73ED} - System32\Tasks\{B1F94D21-0530-466E-BC65-1900E288DCD9} => D:\cod\Call of Duty 4 - Modern Warfare\iw3mp.exe Task: {4A8D2CF7-4D78-41D3-B888-ECA386330065} - System32\Tasks\{868DD70B-A316-40BA-913F-576201D499A5} => pcalua.exe -a C:\Users\AREK\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cor Task: {4F16EA1F-5D86-4523-A992-EA6B3D82C2A3} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe Task: {588CF0A9-DA89-4A4F-A302-D2CB0A18FFE6} - System32\Tasks\{643B7729-871E-41D4-AF47-8D1C2290DF6D} => D:\dsj\DSJ.EXE Task: {5A2F8DC3-FC04-4E7B-86EC-BD5C19522CA8} - System32\Tasks\{F216331C-60C2-410B-8FB4-C7D4B171DC8F} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {7443653A-1E3A-42E2-BCB5-8293DAF12F59} - System32\Tasks\{AA8AF25B-DC69-4505-A909-522D7CED1898} => pcalua.exe -a C:\Users\AREK\Desktop\Setup.exe -d C:\Users\AREK\Desktop Task: {7669AB9C-962D-41EE-9B7B-1BE128D3AEB5} - System32\Tasks\{E0C22C2E-08EC-4985-8EC4-C67C4FF71289} => pcalua.exe -a "D:\Program Files (x86)\Valve\Half-Life\unins000.exe" -d "D:\Program Files (x86)\Valve\Half-Life" Task: {8DAACDE8-5BDB-4C31-B5FD-8EE7F3FFB7CB} - System32\Tasks\{CF50A3A1-4B9F-4F58-B99A-9D0CF08D2DFF} => D:\dsj\DSJ.EXE Task: {97C99D23-F6D1-403D-965A-87796DE5BCE3} - System32\Tasks\{831E4B86-D797-4273-AE97-0B374AD6B89F} => D:\Program Files (x86)\Valve\Portal 2\portal2.exe Task: {995BD2A0-3A85-4096-AA06-8BF917306822} - System32\Tasks\{0A41FD80-DDF3-418E-A442-53C384B450E5} => pcalua.exe -a E:\Software\setupstb.exe -d E:\Software Task: {A40BE4EC-676D-41E4-979B-85264CE8669E} - System32\Tasks\AdobeFlashPlayerUpdate => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe Task: {A6666230-BDE3-49D0-8DC7-C1D182C97EDB} - System32\Tasks\{EA150D06-6F0E-468B-B240-836059192BCB} => D:\Program Files (x86)\Valve\Portal 2\portal2.exe Task: {B375652B-3AD9-45D4-AC9D-534862BDDEA2} - System32\Tasks\{408F698A-A592-49FE-8912-135FA4325380} => E:\Software\setup.exe Task: {E42239ED-7781-4099-AC0D-DE8F650361FD} - System32\Tasks\{F4A005F0-7DF0-4F93-82E2-90B7863384BB} => pcalua.exe -a C:\Windows\UnGins.exe -c "C:\Program Files (x86)\HEROES3\BLADE\install.log" Task: {F11D7B96-429D-440C-9549-57E80F0B12DA} - System32\Tasks\{669BC943-BC4C-48F8-9888-2412F0532C27} => D:\dsj\DSJ.EXE Task: {F2A2DF2B-55E3-41CD-805A-C2AAE229CC0D} - System32\Tasks\StPrsSW => C:\Users\AREK\AppData\Roaming\StPrsSW\stprss.exe [2015-01-17] () Task: {F8455814-E176-41A5-AD6C-B7A267D72978} - System32\Tasks\{8E9BF6EB-1185-4817-8AD8-2DE58E55EB45} => E:\Software\setup.exe Task: {F8642D35-92FA-4605-B9BD-49D20E31C988} - System32\Tasks\{BCAB74B0-7B29-4AD3-9A09-256E087C4E2A} => D:\dsj\DSJ.EXE Task: {FA7BCFBA-3C83-4AC4-868D-1685FCF2DB50} - System32\Tasks\{BBF0ED91-78A1-475F-AD96-F86545949361} => D:\dsj\DSJ.EXE Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 FXDrv32; \??\E:\FXDrv64.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] S3 wanatw; system32\DRIVERS\wanatw64.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files (x86)\Avant Downloader RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\LighterModule RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\Picexa RemoveDirectory: C:\Program Files (x86)\RelayAppend RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\Smarmy Hall RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Program Files (x86)\TrimEdit RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\8WdM8 RemoveDirectory: C:\ProgramData\Boroowsee2save RemoveDirectory: C:\ProgramData\cWMiniProc RemoveDirectory: C:\ProgramData\DWdsManProD RemoveDirectory: C:\ProgramData\HWdMH RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\vWMiniProv RemoveDirectory: C:\ProgramData\ZWMiniProZ RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CF Toolbox RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dziel. i łącz. plików RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fizzy RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Jazz Jackrabbit 2 Secret Files RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic PL RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes III RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JoWood RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Maxis RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mega Patch PL 12 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Overgrowth RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 2 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Valve RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Xfire RemoveDirectory: C:\Users\AREK\AppData\Local\Google RemoveDirectory: C:\Users\AREK\AppData\Local\Mozilla RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{014E8158-FCF4-4EE7-8676-CBC6B2813164} RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{18AF24C3-3DDE-431F-B9FA-EC1D6EDD519D} RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{2B10285A-3281-4C77-9BA7-3827769C2007} RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{30A84EA5-D509-47DF-BFB7-D92AC970A971} RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{C9556353-6423-4AD8-8562-FB0DB1065CC4} RemoveDirectory: C:\Users\AREK\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\AREK\AppData\Roaming\mystartsearch RemoveDirectory: C:\Users\AREK\AppData\Roaming\Picexa Viewer RemoveDirectory: C:\Users\AREK\AppData\Roaming\StPrsSW RemoveDirectory: C:\Users\AREK\AppData\Roaming\TSv RemoveDirectory: C:\Users\AREK\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Fraps RemoveDirectory: C:\Users\Zbigniew\AppData\Local\Microsoft\Windows\GameExplorer\{638C49F0-FAC0-47A2-BD4F-34906132279E} RemoveDirectory: C:\Users\Zbigniew\AppData\Local\Microsoft\Windows\GameExplorer\{2EE4D339-220B-491C-94BC-5BEA9CA43D5C} C:\Program Files (x86)\prefs.js C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Walking Dead.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\Users\AREK\AppData\Local\{*} C:\Users\AREK\AppData\Local\Temp.dat C:\Users\AREK\AppData\LocalLow\wbk438D.tmp C:\Users\AREK\AppData\Roaming\appdataFr25.bin C:\Users\AREK\AppData\Roaming\appdataFr3.bin C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer V4.7.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer V5.0.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Xfire.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Games.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\AREK\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\AREK\Gry\Magicka.lnk C:\Users\AREK\Gry\Portal 2.lnk C:\Users\AREK\Gry\The Sims 2.lnk C:\Users\AREK\Gry\muzyka\save\ChomikBox.lnk C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ChomikBox.lnk C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Xfire.lnk C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Games.lnk C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome*.lnk C:\Users\Paulina\Documents\My Shared Folder\Angry Birds Space.lnk C:\Users\Paulina\Documents\My Shared Folder\CF Toolbox.lnk C:\Users\Paulina\Documents\My Shared Folder\Gothic PL.lnk C:\Users\Paulina\Documents\My Shared Folder\Team Fortress Classic.lnk C:\Users\Paulina\Documents\My Shared Folder\The Sims 2.lnk C:\Users\Paulina\Documents\My Shared Folder\Uruchom grę Mafia.lnk C:\Users\Public\Desktop\Adobe Reader X.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Public\Desktop\Picexa.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Xfire.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Games.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: type C:\Windows\System32\Tasks\SidebarExecute EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
ArekG Opublikowano 14 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2015 Kiedy będe mógł zainstalować chroma? Edit. Pozostała aplikacja Dns Unlocker. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2015 Zgłoś Udostępnij Opublikowano 14 Grudnia 2015 Podam kiedy zainstalować Google Chrome, na razie nadal czyszczenie w toku. Podobna sprawa niestety była z Firefox - zainstalowałeś go, mimo że to było w ogóle nie wskazane na tym etapie czyszczenia, skutki są teraz takie, że narażasz świeżego Firefoxa na zaśmiecenie, bo nie wykonałeś jednak wszystkich poleceń. Poprawki: 1. Widzisz reklamy "DNS Unlocker", bo nie wykonałeś pierwszego punktu. Wdrożyć: Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Nie został także odinstalowany wątpliwej reputacji Splashtop Connect IE Zynga. 3. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449070826&z=3e0652d099aefd4070864dag7z9z0tee6m9e9baoab&from=ient07021&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = S2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [X] (Wondershare) C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2072928 2014-10-31] (Wondershare) RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Common Files\Wondershare Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: ipconfig /flushdns Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 4. W systemie są aż trzy konta, każde musi być sprawdzone z osobna, na razie był analizowany tylko AREK: ==================== Konta użytkowników: ============================= AREK (S-1-5-21-74317436-289575424-2793545732-1000 - Administrator - Enabled) => C:\Users\AREK Paulina (S-1-5-21-74317436-289575424-2793545732-1003 - Limited - Enabled) => C:\Users\Paulina Zbigniew (S-1-5-21-74317436-289575424-2793545732-1004 - Limited - Enabled) => C:\Users\Zbigniew Po kolei zaloguj się na każde z kont z osobna poprzez pełny restart systemu, a nie opcję Wyloguj lub Przełącz użytkownika, na każdym koncie zrób po dwa logi FRST z opcji Skanuj (Scan) - główny FRST.txt + Addition.txt, Shortcut.txt nie jest potrzebny ponownie. Na kontach limitowanych Paulina i Zbigniew należy uruchomić FRST z dwukliku, a nie przez opcję "Uruchom jako Administrator" (zmieni kontekst konta i pokaże zawartość ARKA). Odnośnik do komentarza
ArekG Opublikowano 15 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Ok wykonałem wszystkie powyższe instrukcje. Dnsy zmieniałem już wcześniej na automatyczne według instrukcji ale to nic nie pomogło. Fixlog.txt Addition-PAULINA.txt FRST-PAULINA.txt Addition-ZBIGNIEW.txt FRST-ZBIGNIEW.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2015 Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Brakuje jeszcze logów FRST (FRST.txt + Addition.txt) z ARKA. Problem z DNS nadal widoczny. Zanim zrobisz logi z ARKA, powtórz akcję którą podałam, ale zamiast ustawiać na Automatyczne, uwstaw na sztywno adresy Google 8.8.8.8 - 8.8.4.4 i zresetuj kompa. Po tym logi z ARKA wykonaj. I będziemy doczyszczać pozpostałe konta po kolei. Odnośnik do komentarza
ArekG Opublikowano 15 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Przez tym jak wstawiłem pierwsze logi miałem już ustawione googlowskie dnsy więc nie sądzę żeby w tym był problem ale zrobiłem tak jak mówisz. Logi: Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2015 Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Oto co widzi log: Tcpip\Parameters: [NameServer] 199.203.131.145 82.163.143.167 Tcpip\..\Interfaces\{CB860721-8BDA-4005-8E26-5C160DD7D67F}: [NameServer] 199.203.131.145 82.163.143.167,8.8.8.8,8.8.4.4 Czyli nadal ustawione serwery adware, a Google to "doklejone" na szarym końcu. Nie wiem co robisz źle, ale tak te wpisy nie powinny wyglądać po poprawnej edycji. W związku z tym usunę je z rejestru skryptem FRST, w razie czego po akcji (gdyby odcięło internet) trzeba będzie poprawić ręcznie w konfiguracji Połączeń sieciowych. Kolejna porcja zadań: AKCJE NA KONCIE PAULINA: 1. Jeśli na tym koncie były cenne zakładki w Goole Chrome, to skopiuj na Pulpit poniższy plik, bo cały folder profilu poleci z dysku: C:\Users\Paulina\AppData\Local\Google\Chrome\User Data\Default\Bookmarks + Bookmarks.bak (o ile jest) 2. Otwórz Notatnik i wklej: HKU\S-1-5-21-74317436-289575424-2793545732-1003\...\Run: [ares] => "C:\Program Files (x86)\Ares\Ares.exe" -h HKU\S-1-5-21-74317436-289575424-2793545732-1003\...\Run: [swg] => "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" HKU\S-1-5-21-74317436-289575424-2793545732-1003\...\Run: [ALLUpdate] => "D:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-74317436-289575424-2793545732-1003\...\Run: [CompuCare Check for updates] => C:\Users\Paulina\AppData\Roaming\SuperPump\updater.exe HKU\S-1-5-21-74317436-289575424-2793545732-1003\...\MountPoints2: {18bb2952-a0e4-11e1-a51b-d02788674266} - H:\autorun.exe HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage= HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://pl.v9.com/?utm_source=b&utm_medium=fft HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447228033&z=3e6f03e8de92d5ddb4f2578g9z4zam4o9obbfe0m8w&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG&q={searchTerms} URLSearchHook: HKU\S-1-5-21-74317436-289575424-2793545732-1003 - (Brak nazwy) - {EEE6C35D-6118-11DC-9C72-001320C79847} - Brak pliku URLSearchHook: HKU\S-1-5-21-74317436-289575424-2793545732-1003 - (Brak nazwy) - {00000000-6E41-4FD3-8538-502F5495E5FC} - Brak pliku URLSearchHook: HKU\S-1-5-21-74317436-289575424-2793545732-1003 - (Brak nazwy) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Brak pliku URLSearchHook: HKU\S-1-5-21-74317436-289575424-2793545732-1003 - (Brak nazwy) - {a5ae8924-4036-420f-b7f6-a47e4b8f692e} - Brak pliku SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxp://isearch.avg.com/search?cid={B63A4DBF-C1D4-4A4D-A16B-A902037CCE43}&mid=55624213de5347d1bcec016ece83ab95-cf12c9a2b59a93b3b3f9c41ce979ab34f8b8fa9f&lang=pl&ds=AVG&pr=fr&d=2012-07-30 09:34:57&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> bProtectorDefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> {0D7562AE-8EF6-416d-A838-AB665251703A} URL = hxxp://start.facemoods.com/?a=bfus&s={searchTerms}&f=4 SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&affID=112555&tt=3412_3&babsrc=SP_ss&mntrId=0e936e0500000000000000ff132222b0 SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> {0F347250-9E6C-4492-A3B0-CF709EB52F1F} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=PROTOSV SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://pl.v9.com/s#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> {36DEE1AC-B709-4DE4-BD0F-6A1813AB8A07} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=&apn_ptnrs=FV&apn_dtid=YYYYYYUGPL&apn_uid=371fea84-af3c-4c8b-b4de-b1ce078d9f90&apn_sauid=7C024AE1-FB61-481A-A173-37275FD1A3B0 SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxp://isearch.avg.com/search?cid={B63A4DBF-C1D4-4A4D-A16B-A902037CCE43}&mid=55624213de5347d1bcec016ece83ab95-cf12c9a2b59a93b3b3f9c41ce979ab34f8b8fa9f&lang=pl&ds=AVG&pr=fr&d=2012-07-30 09:34:57&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> {D1DC3A83-58B1-4041-A584-6ED6A91F7CC6} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A4107735745&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4107735745&q={searchTerms} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> {D4885D0D-3699-4384-B21F-674ACCCCDC8E} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=PROTOSV SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> {E4F3BAAF-E268-47E4-9961-44C17C560EFF} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2670199 SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> {FED54F96-2849-463A-A2FB-77861CE3C225} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYUGPL&apn_uid=371fea84-af3c-4c8b-b4de-b1ce078d9f90&apn_sauid=7C024AE1-FB61-481A-A173-37275FD1A3B0 SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> {FF0FDC7A-9812-4532-82B9-B56AD3741A95} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A4107735745&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4107735745&q={searchTerms} Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> Brak nazwy - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - Brak pliku Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> Brak nazwy - {A5AE8924-4036-420F-B7F6-A47E4B8F692E} - Brak pliku Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1003 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\FileHunter DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\YourFileDownloader RemoveDirectory: C:\Users\Paulina\AppData\Local\Google RemoveDirectory: C:\Users\Paulina\AppData\Roaming\Splashtop C:\Users\Paulina\AppData\Local\{*} C:\Users\Paulina\AppData\Local\dt.dat C:\Users\Paulina\AppData\Roaming\appdataFr25.bin C:\Users\Paulina\AppData\Roaming\appdataFr3.bin Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Powstanie fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. AKCJE NA KONCIE ZBIGNIEW: 1. Jeśli na tym koncie były cenne zakładki w Goole Chrome, to skopiuj na Pulpit poniższy plik, bo cały folder profilu poleci z dysku: C:\Users\Zbigniew\AppData\Local\Google\Chrome\User Data\Default\Bookmarks + Bookmarks.bak (o ile jest) 2. Otwórz Notatnik i wklej: HKU\S-1-5-21-74317436-289575424-2793545732-1004\...\Run: [ALLUpdate] => "D:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-74317436-289575424-2793545732-1004\...\Run: [CompuCare Check for updates] => C:\Users\Zbigniew\AppData\Roaming\SuperPump\updater.exe HKU\S-1-5-21-74317436-289575424-2793545732-1004\...\Run: [GOOBZOYouTubeAccelerator] => "C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe" /startup HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=about:splashtopconnect HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://pl.v9.com/?utm_source=b&utm_medium=fft HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447228033&z=3e6f03e8de92d5ddb4f2578g9z4zam4o9obbfe0m8w&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG&q={searchTerms} URLSearchHook: HKU\S-1-5-21-74317436-289575424-2793545732-1004 - (Brak nazwy) - {0F3DC9E0-C459-4a40-BCF8-747BD9322E10} - Brak pliku URLSearchHook: HKU\S-1-5-21-74317436-289575424-2793545732-1004 - (Brak nazwy) - {00000000-6E41-4FD3-8538-502F5495E5FC} - Brak pliku URLSearchHook: HKU\S-1-5-21-74317436-289575424-2793545732-1004 - (Brak nazwy) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Brak pliku URLSearchHook: HKU\S-1-5-21-74317436-289575424-2793545732-1004 - (Brak nazwy) - {EEE6C35D-6118-11DC-9C72-001320C79847} - Brak pliku URLSearchHook: HKU\S-1-5-21-74317436-289575424-2793545732-1004 - (Brak nazwy) - {a5ae8924-4036-420f-b7f6-a47e4b8f692e} - Brak pliku SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> bProtectorDefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> {0070CA47-0F26-4d11-8E6C-727F6FD841AC} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=PROTOSV SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> {0D7562AE-8EF6-416d-A838-AB665251703A} URL = hxxp://start.facemoods.com/?a=bfus&s={searchTerms}&f=4 SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&affID=112555&tt=3412_3&babsrc=SP_ss&mntrId=0e936e0500000000000000ff132222b0 SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://pl.v9.com/s#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> {36DEE1AC-B709-4DE4-BD0F-6A1813AB8A07} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=&apn_ptnrs=FV&apn_dtid=YYYYYYUGPL&apn_uid=371fea84-af3c-4c8b-b4de-b1ce078d9f90&apn_sauid=7C024AE1-FB61-481A-A173-37275FD1A3B0 SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> {780F312D-5C64-4b3c-B232-FCCEDB1EEB10} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A4107735745&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4107735745&q={searchTerms} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxp://isearch.avg.com/search?cid={B63A4DBF-C1D4-4A4D-A16B-A902037CCE43}&mid=55624213de5347d1bcec016ece83ab95-cf12c9a2b59a93b3b3f9c41ce979ab34f8b8fa9f&lang=pl&ds=AVG&pr=fr&d=2012-07-30 09:34:57&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> {D4885D0D-3699-4384-B21F-674ACCCCDC8E} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=PROTOSV SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> {E4F3BAAF-E268-47E4-9961-44C17C560EFF} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2670199 SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> {FF0FDC7A-9812-4532-82B9-B56AD3741A95} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A4107735745&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4107735745&q={searchTerms} Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> Brak nazwy - {A5AE8924-4036-420F-B7F6-A47E4B8F692E} - Brak pliku Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> Brak nazwy - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - Brak pliku Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1004 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku FF HKU\S-1-5-21-74317436-289575424-2793545732-1004\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi => nie znaleziono DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\FileHunter DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\YourFileDownloader RemoveDirectory: C:\Users\Zbigniew\AppData\Local\Google RemoveDirectory: C:\Users\Zbigniew\AppData\Roaming\Splashtop C:\Users\Zbigniew\AppData\Local\{146C58F1-DBFC-4460-B9C6-1DAD41462EC5} C:\Users\Zbigniew\AppData\Roaming\appdataFr25.bin C:\Users\Zbigniew\AppData\Roaming\appdataFr3.bin Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Powstanie fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. AKCJE NA KONCIE AREK: 1. Otwórz Notatnik i wklej: Tcpip\Parameters: [NameServer] 199.203.131.145 82.163.143.167 Tcpip\..\Interfaces\{CB860721-8BDA-4005-8E26-5C160DD7D67F}: [NameServer] 199.203.131.145 82.163.143.167,8.8.8.8,8.8.4.4 CMD: ipconfig /flushdns CMD: del /q C:\Users\AREK\steam_api.dll RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Splashtop RemoveDirectory: C:\Users\AREK\AppData\Roaming\Splashtop Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj, log powstanie w folderzeC:\AdwCleaner. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt i log AdwCleaner. Odnośnik do komentarza
ArekG Opublikowano 15 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Zrobiłem to wszystko. Na kontach Zbigniew oraz Paulina pasek zadań zmienił się w szary i nie można wejść w niektóre foldery. AdwCleanerS4.txt Fixlog-AREK.txt FRST-AREK.txt Fixlog-PAULINA.txt FRST-PAULINA.txt Fixlog-ZBIGNIEW.txt FRST-ZBIGNIEW.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2015 Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Zanim podam kolejne kroki objaśnij: O jakich folderach na kontach Paulina i Zbigniew mowa? I czy na pewno po restarcie komputera nadal jest problem z paskiem? Poza tym, widzę dziwną rzecz, zadałam do Odświeżenia Firefox na każdym z tych kont po kolei (co tworzy nowy folder profilu), a w wynikowym logu nie ma żadnego śladu nowego profilu Firefoxa na obu tych kontach. Czy Firefox tam w ogóle działa / jest dostępny? Czy jest używany? W przeciwnym wypadku skasuję wszystkie profile całkowicie. Odnośnik do komentarza
ArekG Opublikowano 15 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Firefoxa usunąłem po tym jak napisałaś że nie powinninem go instalować bo może się adware zaśmiecić. Pasek na tych 2 kontach jest szary i nie można : usunąć żadnego folderu z pulpitu wyskakuje błąd 0x80070003 ,nie można wejść w folder o nazwie "ZBIGNIEW" na koncie zbigniewa i analogicznie na koncie pauliny, Po prostu klikam i nic się nie dzieje. Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2015 Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Jakoś nie zauważyłam, że go odinstalowałeś, gdyż deinstalacja nie usuwa profilu i na koncie Arek siedzi profil FF. Jeśli chodzi o problem z brakiem dostępu do folderów, to może wystąpił reset uprawnień, tylko nie wiem dlaczego. W związku z tym spróbuj odblokować te katalogi + pozostałe poprawki: 1. Z poziomu konta AREK (pozostałe konta całkowicie wylogowane). Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\V9 DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\WEBAPP DeleteKey: HKCU\Software\Reg\Clean DeleteKey: HKCU\Software\AppDataLow\{12DA0E6F-5543-440C-BAA2-28BF01070AFA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\{12DA0E6F-5543-440C-BAA2-28BF01070AFA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\delta-homesSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\mystartsearchSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\omniboxesSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9 DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\Reg\Clean DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\ForeceRemove DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3CCC052E-BDEE-408A-BEA7-90914EF2964B} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{61F47056-E400-43D3-AF1E-AB7DFFD4C4AD} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{066D89E6-B457-4A57-888A-B0AEB11D5BF1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0E8990F4-2FC9-403C-883B-535D6271E740} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1644E2E1-E15E-4E9E-9B25-5668536DD6A7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{2BA83048-8B7C-4186-843B-D97FC1A6AE95} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{469960F8-8172-4386-BBB1-DF3590027D58} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{753C5ED0-B9AB-4F1E-8DAC-668E701CA569} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{80995911-5CF2-483F-A260-C736E8D0C691} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{821ED2B3-866E-4177-870E-52D995D123D0} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9B4E4BF6-9346-4969-8428-C3CB81CD7A30} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9BAC5A3B-33FD-4DB9-A4F1-B749498D4017} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A6670033-7A4B-4F59-B8A9-A7CEBF3CE960} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B1285825-F24F-4651-9F8A-2012460AD2FC} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B3D38AE9-C808-4811-8417-F114839D6392} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B8E64931-27EF-42BC-AF3B-0E2B25D17567} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BE952BDF-6FDF-4A62-B318-E15D4487A2EF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C0233F6C-3110-4AEA-A798-C81DA43CED9E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{CC5B7648-AAF8-4642-B53D-B7B5E4AE7241} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D325B617-D6F9-4C72-90B2-A38E6D15C16E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{DF51AD29-5239-441A-B921-E655C8162060} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E515494B-7548-462A-B7E7-A3E6F8C4899C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E9ECFFF9-2011-439F-92EB-BE145ACD87DA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FBB92627-0DAA-4B69-97CC-9879236FE039} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\SOFTWARE\Microsoft\Internet Explorer\Main DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{7F1796B2-BEC6-427B-B734-F9C75ED94A80} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{8C338DDB-19FC-4C1F-B74D-6931EE55F7A1} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\AppDataLow\{12DA0E6F-5543-440C-BAA2-28BF01070AFA} DeleteKey: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\iWebar DeleteKey: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\_CrossriderRegNamePlaceHolder_ RemoveDirectory: C:\Program Files (x86)\Google Drive Quick Create RemoveDirectory: C:\ProgramData\BeostSavEForYeou RemoveDirectory: C:\ProgramData\DiGGiCOupon RemoveDirectory: C:\ProgramData\FindBeistDeal RemoveDirectory: C:\ProgramData\JoNiCouupon RemoveDirectory: C:\ProgramData\ReugulaRDeAls RemoveDirectory: C:\ProgramData\aWdsManProa RemoveDirectory: C:\Users\AREK\AppData\Local\Installer RemoveDirectory: C:\Users\AREK\AppData\Local\Mozilla RemoveDirectory: C:\Users\AREK\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\AREK\AppData\Roaming\WinZipper RemoveDirectory: C:\Users\Paulina\AppData\Local\Mozilla RemoveDirectory: C:\Users\Paulina\AppData\Roaming\Elex-tech RemoveDirectory: C:\Users\Paulina\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Zbigniew\AppData\Local\Mozilla RemoveDirectory: C:\Users\Zbigniew\AppData\Roaming\Elex-tech RemoveDirectory: C:\Users\Zbigniew\AppData\Roaming\Mozilla RemoveDirectory: C:\Windows\system32\log Unlock: C:\Users\Paulina Unlock: C:\Users\Zbigniew CMD: del /q C:\Windows\launcher.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Po kolei zaloguj się na Paulinę i Zbigniewa i podaj co widzisz. Odnośnik do komentarza
ArekG Opublikowano 15 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Nic się nie zmieniło. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2015 Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Fix FRST wykonany. Jeśli chodzi o problemy limitowanych kont, to podaj mi eksporty rejestru jak są skonfigurowane ścieżki specjalnych folderów powłoki. Na kontach Paulina i Zbigniew zrób i wykonaj fixlist.txt o tej samej zawartości: Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Dostarcz oba pliki fixlog.txt. To tylko pobór danych, a nie naprawa. Odnośnik do komentarza
ArekG Opublikowano 15 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Odmowa dostępu. Rozumiem że podstawowy błąd o który mi chodziło został naprawiony tak? Dziękuje bardzo za pomoc Fixlog.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2015 Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Podstawowa sprawa już rozwiązana, ale nie można zostawić kont w takim stanie. Kolejne podejście z poborem danych, tym razem z kontekstu konta administracyjnego. Warunkiem muszą być zalogowane wszystkie konta po kolei, a jako ostatnie administracyjne. Czyli zaloguj Paulinę > opcja Przełącz użytkownika > zaloguj Zbigniewa > opcja Przełącz użytkownika > zaloguj Arka i na Arku wykonaj fixlist.txt o zawartości: ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Dostarcz wynikowy fixlog.txt. Odnośnik do komentarza
ArekG Opublikowano 15 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Mogę już zainstalować inne przeglądarki? Edit. Problem z reklamami z Dns Unlockera nie został rozwiązany. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Problem z reklamami z Dns Unlockera nie został rozwiązany. Problemem jest infekcja DNS. Podawałam kilka razy gdzie konfigurować, z jakiejś przyczyny Twoje operacje były nie do końca udane. W ostatnim podejściu starałam się usunąć z rejestru wartości, by odpalić "aktualizację" danych + ponowne czyszczenie bufora DNS, ale widzę że to nie działa. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. Pokaż mi obrazki z tej akcji, co i gdzie konfigurujesz. Mogę już zainstalować inne przeglądarki? Nie, dopóki nie rozwiążemy w/w przekierowań adware oraz nie wdrożymy korekty kont. Jeśli chodzi o konta, to zdaje się być problem właśnie w owych kluczach z "Odmową dostępu", mają wymazane całkowicie uprawnienia z nieznanej przyczyny (żaden z Fixów FRST tam nie grzebał). Podejście z resetem uprawnień: Tak jak poprzednio, ma być następujący układ: zaloguj Paulinę > opcja Przełącz użytkownika > zaloguj Zbigniewa > opcja Przełącz użytkownika > zaloguj Arka i na Arku wykonaj fixlist.txt o zawartości: Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Dostarcz wynikowy fixlog.txt. Odnośnik do komentarza
ArekG Opublikowano 16 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Co robię: Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 1. Fix FRST pomyślnie odblokował te klucze alternatywnych kont. Teraz zresetuj komputer, zaloguj się na Paulinę i sprawdź czy problem z folderami ustąpił. Podobnie na koncie Zbigniew. 2. Edycja wygląda na poprawną. W związku z tym zrób mi nowy komplet logów z Arka (FRST.txt + Addition.txt). Odnośnik do komentarza
ArekG Opublikowano 16 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Powróciły ikony na pulpit do obydwu kont. Nie można jednak w dalszym ciągu tworzyć na pulpicie żadnych folderów ani dokumentów, wchodzić w przeglądarkę czy też dokumenty. Pasek cały czas pozostał szary. Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Problem pozostałych kont na razie odsuwam, muszę to przemyśleć, na pewno chodzi o odebrany dostęp gdzieś. Czy podczas prób tworzenia katalogów oraz wchodzenia przeglądarkę (mówimy oczywiście o IE, bo aktualnie brak innych) występuje ten sam błąd 0x80070003 co podany poprzednio? Jeśli chodzi o logi z Arka, to nie widać już jawnych oznak infekcji "DNS Unlocker". Skoro nadal jest problem tych reklam, to mocno mnie zastanawia Steam i jego świeże autoryzacje w Zaporze: ==================== Reguły Zapory systemu Windows (filtrowane) =============== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) FirewallRules: [{524BD553-8EB7-4B42-AB57-78DCD66C42B7}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe FirewallRules: [{BF78F688-0ECD-4A38-8345-00F926B569AF}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe FirewallRules: [{8F374DE2-B3B8-421C-B344-DE45040BAD29}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe FirewallRules: [{D1EBCC08-28B2-4812-821B-05D385E4C967}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe Otóż na forum był problem ze Steam w dokładnie tym kontekście: KLIK. W związku z tym proponuję następujące kroki: 1. Odinstaluj Steam. Po deinstalacji dokasuj przez SHIFT+DEL (omija Kosz) następujące foldery, o ile nadal będą: C:\Program Files (x86)\Steam C:\Users\AREK\AppData\Roaming\Steam 2. Ponów czyszczenie bufora DNS i Tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 3. Usuń certyfikat dodany przez "DNS Unlocker". Start > w polu szukania wpisz certmgr.msc > z prawokliku Uruchom jako Administrator > rozwiń gałąź Zaufane główne urzędy certyfikacji > Certyfikaty > wyszukaj cloudguard.me lub www.cloudguard.me i usuń. 4. Jeśli problem reklam "DNS Unlocker" ustanie, zainstaluj wybraną przeglądarkę i zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Odnośnik do komentarza
ArekG Opublikowano 16 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 1. Konta Pauliny i Zbigniewa. Mogę usuwać pliki i wchodzić w większość plików wyjątkiem pozostaje internet explorer a także folder "ZBIGNIEW"(klikając nic się po prostu nie dzieje, nie wyskakuje żaden błąd ani nic) na koncie Zbigniewa i analogicznie u Pauliny. Zainstalowałem google chrome bo nie widzę już problemów z dns unlockerem ale wchodząc w google chrome na koncie Zbigniew lub Paulina nie działa mi internet. 2.Arek Wygląda na to że jest w porządku. Zrobiłem to co poleciłaś. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Wszystko zrobione. Teraz trzeba będzie przemyśleć sprawę Pauliny i Zbigniewa. Poproszę o pełne kopie rejestru tych kont. Konta nie mogą być zalogowane, by dało się przekopiować rejestr, czyli pełny restart kompa i logujesz się na Arka. Z jego poziomu skopiuj mi te pliki: C:\Users\Paulina\NTUSER.DAT C:\Users\Paulina\AppData\Local\Microsoft\Windows\UsrClass.dat C:\Users\Zbigniew\NTUSER.DAT C:\Users\Zbigniew\AppData\Local\Microsoft\Windows\UsrClass.dat Pliki spakuj do ZIP, shostuj gdzieś i prześlij mi na PW link. Analiza i ewentualna ręczna korekta tych plików zajmie mi sporo czasu. Odnośnik do komentarza
ArekG Opublikowano 16 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Nie lepiej usunąć te konta po prostu? One nie są jakoś bardzo potrzebne a nie chcę Ci zajmować jeszcze więcej czasu. Co o tym myślisz? Odnośnik do komentarza
Rekomendowane odpowiedzi