Yoursite 123 - usunięcie

[TedexPl]

Od jakiegoś czasu zmagam się z problemem Yoursite 123. 

Dołączam pliki.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Jest tu więcej obiektów adware, nie tylko tytułowy hijacker. Poza tym, widzę liczne próby crackowania Windows, w tym pobrany i uruchomiony crack aktywacji Chew7.exe - stanowczo odradzam, ten crack obniża wydajność systemu, 100% CPU i zamulenie.

 

Działania do przeprowadzenia:

 

1. Odinstaluj stare wersje i zbędniki: Adobe AIR, Game Booster 3, Google Talk Plugin (już nie działa), Java 7 Update 65 (64-bit), Java 8 Update 25, Java SE Development Kit 7 Update 21 (64-bit), Splashtop Connect for Firefox oraz YTD Video Downloader 4.8.5 (adware w instalatorze).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {3c836676-f0ac-4921-b55a-03cfbf37b751}Gw64; C:\Windows\System32\drivers\{3c836676-f0ac-4921-b55a-03cfbf37b751}Gw64.sys [48784 2015-12-14] (StdLib)
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Far Cry 4\Play Far Cry 4.lnk -> C:\Program Files (x86)\R.G. Mechanics\Far Cry 4\bin\Launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Euro Truck Simulator 2 Multiplayer\Play Euro Truck Simulator 2 Multiplayer.lnk -> C:\Program Files (x86)\Euro Truck Simulator 2 Multiplayer\launcher.exe (ETS2MP Team) -> hxxp://www.omniboxes.com/?type=sc&ts=1449068806&z=87dfdda7c4feb5523185062g2zez0t8eeqbb1tfo1c&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Build and Shoot\Build and Shoot Launcher.lnk -> C:\Program Files (x86)\Build and Shoot\Launcher.exe (Buld Then Snip, LLC) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Mafia II\Mafia II Launcher.lnk -> C:\Program Files (x86)\2K Games\Mafia II\launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\Users\Dj Tedex Studio\Desktop\Build and Shoot Launcher.lnk -> C:\Program Files (x86)\Build and Shoot\Launcher.exe (Buld Then Snip, LLC) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\Users\Dj Tedex Studio\Desktop\Launcher GTA 5.lnk -> C:\Program Files (x86)\Grand.Theft.Auto.V.Full.Unlocked.PL\Launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor (Beta) (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor (Beta).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447153778&z=db35596b99f362ac8b52790g0z9z4m3g9wbcfbem9o&from=wpm07163&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
ShortcutWithArgument: C:\Users\Public\Desktop\Play Euro Truck Simulator 2 Multiplayer.lnk -> C:\Program Files (x86)\Euro Truck Simulator 2 Multiplayer\launcher.exe (ETS2MP Team) -> hxxp://www.omniboxes.com/?type=sc&ts=1449068806&z=87dfdda7c4feb5523185062g2zez0t8eeqbb1tfo1c&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms}
HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms}
HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1447153778&z=db35596b99f362ac8b52790g0z9z4m3g9wbcfbem9o&from=wpm07163&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1447153778&z=db35596b99f362ac8b52790g0z9z4m3g9wbcfbem9o&from=wpm07163&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-2930414122-1855830695-2752083529-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-2930414122-1855830695-2752083529-1000 -> {14CBE3D7-E6F2-42cb-B35B-4601B9C19C73} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A7941509802&ie=UTF-8&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A7941509802&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2930414122-1855830695-2752083529-1000 -> {4F921B95-F030-46e5-9987-6B55CE38B167} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
FF HKLM-x32\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a1}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a1}
FF HKLM-x32\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a0}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a0}
FF HKLM-x32\...\Firefox\Extensions: [{d9284e50-81fc-11da-a72b-0800200c9a66}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{d9284e50-81fc-11da-a72b-0800200c9a66}
FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\shortcutff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\detgdp@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\defsearchp@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\deskCutv2@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\default_newtabff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\yahooprotected@gmail.com
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2015-01-02]
CHR HKLM-x32\...\Chrome\Extension: [ainbkicbloikcngphmjfpjdemblcojdd] - C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Extensions\slidebar.crx [2014-06-12]
CHR HKLM-x32\...\Chrome\Extension: [jbolfgndggfhhpbnkgnpjkfhinclbigj] - C:\Program Files (x86)\Freemake\Freemake Video Converter\BrowserPlugin\Chrome\Freemake.Plugin.Chrome.crx [2013-08-13]
CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2015-01-02]
CHR HKLM-x32\...\Chrome\Extension: [ogfjmhfnldnajmfaofeiaepghjenbgjo] - C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Extensions\ep.crx [2014-06-12]
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4
HKLM-x32\...\Run: [sTCAgent] => "C:\Program Files (x86)\Splashtop\Splashtop Connect IE\STCAgent.exe"
HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\...\Run: [AdobeBridge] => [X]
Task: {130D1301-96A3-4D17-A528-8092523B4987} - System32\Tasks\{C00D2CFA-EE97-4361-8ADB-EB19ECB8E45E} => pcalua.exe -a "C:\Users\Dj Tedex Studio\Downloads\Firefox Setup 21.0.exe" -d "C:\Users\Dj Tedex Studio\Downloads"
Task: {37EA448C-A1C0-437A-9AE5-409736CDF502} - System32\Tasks\{2C207403-6223-4676-9E36-568B578F57DA} => pcalua.exe -a D:\10\setup_farming_simulator_2013_titanium_addon_v10.exe -d D:\10
Task: {682521E1-A6D5-4AC5-A2C3-D5DA0AC81F76} - \DealPlyUpdate -> Brak pliku 
Task: {7CDB358D-2735-4A47-A295-545E59E4659F} - \DealPly -> Brak pliku 
Task: {D0366878-223E-4BDA-96FB-B4CF4977C571} - System32\Tasks\{6C03D594-89EA-4BBA-B6E4-388707CB7D70} => pcalua.exe -a E:\SilentHunter4_NSS.exe -d E:\
Task: {E40101CE-9789-4296-AA75-21E32D846FF1} - System32\Tasks\FoxTab => C:\Users\DJTEDE~1\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE 
Task: C:\Windows\Tasks\FoxTab.job => C:\Users\DJTEDE~1\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE 
Task: C:\Windows\Tasks\Opera N Saturday.job => C:\Program Files (x86)\Opera\launcher.exe
Task: C:\Windows\Tasks\Opera N Sunday.job => C:\Program Files (x86)\Opera\launcher.exe
Task: C:\Windows\Tasks\Opera N.job => C:\Program Files (x86)\Opera\launcher.exe
Task: C:\Windows\Tasks\Opera scheduled Autoupdate 1435572889.job => C:\Program Files (x86)\Opera\launcher.exe
Task: C:\Windows\Tasks\Software Removal Tool logs upload retry.job => C:\Users\Dj Tedex Studio\AppData\Local\Temp\C1D6.exe 
S4 aswSP; Brak ImagePath
S3 AndnetBus; system32\DRIVERS\lgandnetbus64.sys [X]
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X]
S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
RemoveDirectory: C:\Program Files (x86)\McAfee Security Scan
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins
RemoveDirectory: C:\Program Files (x86)\SFK
RemoveDirectory: C:\ProgramData\Temp
RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\plugins
RemoveDirectory: C:\Users\Dj Tedex Studio\Desktop\FRST-OlderVersion
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Users\Dj\servers.dat
C:\Users\Dj Tedex Studio\AppData\Local\ACCCx2_4_1_351.zip.aamdownload
C:\Users\Dj Tedex Studio\AppData\Local\ACCCx2_4_1_351.zip.aamdownload.aamd
C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Web Data
C:\Users\Dj Tedex Studio\AppData\Roaming\Uninstal.exe
C:\Windows\system32\cwlog.dtl
C:\Windows\system32\hale.exe
C:\Windows\System32\sslsp105.dll
C:\Windows\System32\drivers\{3c836676-f0ac-4921-b55a-03cfbf37b751}Gw64.sys
C:\Windows\SysWOW64\pl.html
C:\Windows\SysWOW64\sslsp105.dll
CMD: netsh advfirewall reset
CMD: netsh winsock reset
CMD: type C:\Windows\System32\Tasks\SidebarExecute
File: C:\Windows\system32\winlogon.exe
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki z adware:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj Twojanuta.pl (ten serwis to reinkarnacja Pobieraczka-naciągacza).
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.

Opera:

• Odłącz synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj adware Filter Results, High Stairs.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[TedexPl]

Póki co jakoś działa. Dziękuję

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Kolejna porcja zadań:

 

1. W ogóle nie wykonałeś tego:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj Twojanuta.pl (ten serwis to reinkarnacja Pobieraczka-naciągacza).
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.

Opera:

• Odłącz synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj adware Filter Results, High Stairs.

Wszystko do zrobienia.

 

2. Poprawki, w tym na dużo pustych skrótów w Shortcut.txt po odinstalowanych programach - nie zdążyłam zedytować poprzedniego posta (już go czytałeś). Otwórz Notatnik i wklej w nim:

 

Task: {79C136EC-F880-446B-AF36-5B3DB36FFEE8} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\client32 => ""="Service"
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Dj Tedex Studio^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^GameRanger.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR12
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Chew7Hale
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CyberGhost
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Overwolf
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify Web Helper
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\STCAgent
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZyngaGamesAgent
RemoveDirectory: C:\Program Files\Java
RemoveDirectory: C:\Program Files (x86)\Splashtop
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Composite 2012 64-bit
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecraft Pingwin Pack 4 - Ultimate
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecrat Pingwin Pack 3
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.0
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spintires
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Silent Hunter 4 Wolves of the Pacific
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VAG-COM
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XAMPP 1.8.1-0
RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Microsoft\Windows\GameExplorer\{30EB24E2-3E10-4AC8-ACBC-BD3E6FDFFCDB}
RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Microsoft\Windows\GameExplorer\{96A5E561-C547-4ABA-B8CE-65CCAF8AC644}
RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Microsoft\Windows\GameExplorer\{9F7CB3EF-A325-4BE5-B7DD-B7E0F1AD8298}
RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Microsoft\Windows\GameExplorer\{E3B650DB-0488-465B-A8A1-94A328B5A734}
RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Splashtop
RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft
RemoveDirectory: C:\Users\Dj Tedex Studio\Desktop\Programy\Tor Browser
RemoveDirectory: C:\Windows\msdownld.tmp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\What's new.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\NVIDIA Photoshop Plug-ins 64 bit\License.lnk
C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor (Beta).lnk
C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor (Beta) (1).lnk
C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rigs of Rods 0.38.67\Multiplayer Server.lnk
C:\Users\Dj Tedex Studio\Desktop\VAG-COM Release 409-1.lnk
C:\Users\Dj Tedex Studio\Desktop\chewlog.txt
C:\Users\Dj Tedex Studio\Desktop\Gry\Car Mechanic Simulator 2014.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\Car Mechanic Simulator 2015.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\Construction Machines 2014 - Settings.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\Construction Simulator 2015.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\Feuerwehr- Simulator 2010.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\Ghostbusters The Video Game.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\Minecraft.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\Play Construction Machines 2014.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\Portal 2.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\SpinTires Tech Demo (June 040613).lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\SpinTires Tech Demo (May 13).lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\Spintires.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\SuperMeatBoy.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\Symulator autobusów i tramwajów.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\Symulator Policji.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\The Sims 2 Ultimate Collection.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\Tony Hawk's Underground 2.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\War Thunder.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\WarThunder.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\Watch_Dogs - Deluxe Edition.lnk
C:\Users\Dj Tedex Studio\Desktop\Gry\csportable\root\cstrike\models\*.mdl.lnk
C:\Users\Dj Tedex Studio\Desktop\Inne\DisplayFusion.lnk
C:\Users\Dj Tedex Studio\Desktop\Inne\Minecraft Pingwin Pack 4 - Ultimate.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\CyberGhost 5.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\Dropbox.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\Fraps.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\GameRanger.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\Launch GameShadow.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\McAfee Security Scan Plus.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\Minecrat Pingwin Pack 3.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\ModPack by DjVirusPL FULL 0.9.0 v5.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\Oracle VM VirtualBox.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\PDF Editor 3.3.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\Sizer.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\Speccy.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\Spotify.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\SumRando.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\TeamViewer 8.lnk
C:\Users\Dj Tedex Studio\Desktop\Programy\Uaktywnij Splashtop Connect.lnk
C:\Users\Dj Tedex Studio\Downloads\Chew7.rar
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
C:\Windows\pss\GameRanger.lnk.Startup

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt.

 

3. Skoryguj poniższy skrót:

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Fallout 4\Fallout 4.lnk -> D:\Games\Fallout 4\Fallout4Launcher.exe.exe (Brak pliku)

 

Prawoklik na plik Fallout 4.lnk i popraw w ścieżce pliku Fallout4Launcher.exe.exe na Fallout4Launcher.exe

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[TedexPl]

Co do przeglądarek to mozilla i opera odinstalowane a w chromie zrobione.

Fixlog.txt

FRST.txt

[picasso]

Deinstalacja Firefox i Opera niestety nie usuwa w ogóle profilu z dysku. Na dysku pozostał cały profil z licznymi adware i gdybyś kiedykolwiek zainstalował w przyszłości Firefox, byłby natychmiastowo zaśmiecony. Trzeba czyścić ręcznie. Kolejne poprawki:

 

1. Odinstaluj Adobe Flash Player 20 NPAPI - już zbędny, to wtyczka dla Firefox. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKU\S-1-5-21-2930414122-1855830695-2752083529-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X]
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox
RemoveDirectory: C:\Program Files (x86)\Opera
RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Mozilla
RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Opera Software
RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla
RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Opera Software

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Przypuszczalnie zedytowałeś zły skrót. Odświeżony został Fallout4Launcher.lnk na Pulpicie, a ja podawałam, by korygować ten w folderze C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Fallout 4:

 

Skoryguj poniższy skrót:

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Fallout 4\Fallout 4.lnk -> D:\Games\Fallout 4\Fallout4Launcher.exe.exe (Brak pliku)

 

Prawoklik na plik Fallout 4.lnk i popraw w ścieżce pliku Fallout4Launcher.exe.exe na Fallout4Launcher.exe

3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[TedexPl]

Proszę

Fixlog.txt

AdwCleanerS1.txt

FRST.txt

[picasso]

Uruchom AdwCleaner ponownie, wywołaj Skanuj. Gdy program ukończy ten etap, wejdź do karty Foldery i odznacz pozycję C:\Users\Dj Tedex Studio\Documents\Save, o ile to jakiś Twój cenny folder z sejwami gier, bo coś mi się zdaje że to fałszywy alarm AdwCleaner. Dopiero gdy to zrobisz, uruchom opcję Usuń. Przedstaw wynikowy log z czyszczenia.

[TedexPl]

Nic ważnego, folder z plikami xml.

AdwCleanerC1.txt

[picasso]

Usuwanie przeprowadzone pomyślnie. Kolejna faza do przeprowadzenia:

 

1. Zastosuj DelFix w celu usunięcia używanych narzędzi.

 

2. Następnie zrób jeszcze skan za pomocą Hitman Pro. Dostarcz wynikowy log. By wszedł w załączniki, musi mieć rozszerzenie *.txt. Po prostu zapisz do nowego pliku.

[TedexPl]

Proszę skan

HitmanPro_20151215_1615.txt

[picasso]

Omiń wyniki typu Suspicious files oraz te:

 

 C:\Ross-Tech\VCDS-Lite\loader.exe

Size . . . . . . . : 199 168 bytes

Age . . . . . . . : 49.8 days (2015-10-26 21:26:53)

Entropy . . . . . : 8.0

SHA-256 . . . . . : CAD4950C9C0B7473B001C6DCC2401E2B36911BC7B2C4A043BC83158BFAFA9B9D

> HitmanPro . . . . : Malware

Fuzzy . . . . . . : 106.0

References

C:\Users\Dj Tedex Studio\Desktop\VCDS-Lite.lnk
 

C:\Users\Dj Tedex Studio\AppData\Local\NVIDIA\NvBackend\StreamingAssets\sniper_elite_3\automated_launch.exe

Size . . . . . . . : 46 592 bytes

Age . . . . . . . : 273.0 days (2015-03-17 15:18:26)

Entropy . . . . . : 5.2

SHA-256 . . . . . : C2436FAE74C8700B906D77C9C8E55F5A11FE49563C2D95B363E6B17500B5BEDB

Product . . . . . : OL

LanguageID . . . . : 0

> Bitdefender . . . : Trojan.GenericKD.2079543

Fuzzy . . . . . . : 106.0
 

C:\Users\Dj Tedex Studio\Desktop\Programy\LOIC.exe

Size . . . . . . . : 134 144 bytes

Age . . . . . . . : 538.8 days (2014-06-24 20:05:43)

Entropy . . . . . : 7.5

SHA-256 . . . . . : 1D5FC634F976DC3C3F339E46365AF78940CB1F49CAA46E76E70F7C6CE8DAD089

Product . . . . . : Low Orbit Ion Cannon

LanguageID . . . . : 0

> HitmanPro . . . . : Malware

Fuzzy . . . . . . : 114.0
 

C:\Users\Dj Tedex Studio\Documents\My Games\FarmingSimulator2015\SaveGameEditor.exe

Size . . . . . . . : 105 984 bytes

Age . . . . . . . : 337.8 days (2015-01-11 19:32:20)

Entropy . . . . . : 7.7

SHA-256 . . . . . : 893C1B0A6F1FA5E02EA6C008218F743844F9D3769DD5F17EB9092A0D11A3FD60

Product . . . . . : SaveGameEditor

LanguageID . . . . : 0

> Bitdefender . . . : Gen:Variant.Kazy.534233

Fuzzy . . . . . . : 114.0

 

Cała reszta za to do usunięcia.