yoursite123 - powracajacy problem

orson · 15 Grudnia 2015

Dzień dobry,

jak część użytkowników, którzy zaglądają na to forum borykam się z problem hijackera przeglądarki "yoursite123".

Problem powraca co jakiś czas, porywając mi stronę startową Opery, jednakże wystarczy usunąć skrót z paska szybkiego uruchamiania i przeglądarka działa prawidłowo. Skan spybotem S&D niby coś tam znajduje i naprawia, jednak jak widać nie jest to wystarczające albo nie radzi sobie z problemem.

W załączeniu przesyłam wymagane logi.

Pozdrawiam.

Addition.txt

FRST.txt

Shortcut.txt

picasso · 15 Grudnia 2015

Wszystkie przeglądarki są poszkodowane, nie tylko Opera, a w tle chodzą procesy odnawiające modyfikację. I jest więcej obiektów adware, w tym inwazyjne sterowniki. Działania do przeprowadzenia:

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj:

- Adware: WindowsMangerProtect20.0.0.502, WinZipper

- Stare wersje i zbędniki: Akamai NetSession Interface, Java 8 Update 31, Spybot - Search & Destroy

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R1 {fef7f75c-f985-4250-96f9-8183cd04238b}Gw64; C:\Windows\System32\drivers\{fef7f75c-f985-4250-96f9-8183cd04238b}Gw64.sys [44696 2014-09-15] (StdLib)
R1 {fef7f75c-f985-4250-96f9-8183cd04238b}w64; C:\Windows\System32\drivers\{fef7f75c-f985-4250-96f9-8183cd04238b}w64.sys [44696 2014-09-16] (StdLib)
R2 IhPul; C:\Users\Ola\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: )
R2 WdMan; C:\ProgramData\4WdM4\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 
ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1448348101&z=523b69bf34d70293944c0e1g0zfzbbcc3zbb9gegee&from=ient07031&uid=KINGSTONXSV300S37A120G_50026B72410DB662 
ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1448348101&z=523b69bf34d70293944c0e1g0zfzbbcc3zbb9gegee&from=ient07031&uid=KINGSTONXSV300S37A120G_50026B72410DB662 
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1448348101&z=523b69bf34d70293944c0e1g0zfzbbcc3zbb9gegee&from=ient07031&uid=KINGSTONXSV300S37A120G_50026B72410DB662 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1418204911&from=wpm12103&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1418204911&from=wpm12103&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms}
HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms}
HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662
HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662
HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL =
SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1418204911&from=wpm12103&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms}
SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms}
SearchScopes: HKU\S-1-5-19 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms}
SearchScopes: HKU\S-1-5-19 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms}
SearchScopes: HKU\S-1-5-20 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms}
SearchScopes: HKU\S-1-5-20 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
BHO-x32: Brak nazwy -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> Brak pliku
BHO-x32: Middle Rush -> {d00ab4cc-662c-40b6-a85f-d53086f4bb16} -> C:\Program Files (x86)\Middle Rush\Extensions\d00ab4cc-662c-40b6-a85f-d53086f4bb16.dll => Brak pliku
StartMenuInternet: IEXPLORE.EXE - c:\program files (x86)\internet explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662
FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\detgdp@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\quick_searchff@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\sweetsearch@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\arthurj8283@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\default_newtabff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\yahooprotected@gmail.com
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662
CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662
CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662"
CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms}
CHR DefaultSearchKeyword: Default -> yoursites123
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-05-22]
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
BootExecute: autocheck autochk * sdnclean64.exe
CustomCLSID: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\AutoCAD Architecture 2010\acad.exe /Automation => Brak pliku
CustomCLSID: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\AutoCAD Architecture 2010\acad.exe => Brak pliku
Task: {2ECAA6AA-0C20-4928-81E0-78DBEEB99F1A} - System32\Tasks\{2CB8BBA1-D0D7-4BF9-A7BA-AC31584F796B} => pcalua.exe -a "C:\Program Files (x86)\Picexa\uninstall.exe"
Task: {80EB4C99-1C6A-4534-852D-8B9515F1891B} - \AppCloudUpdater -> Brak pliku 
Task: {BC0744ED-5867-47C1-BB77-3289A93BC70D} - System32\Tasks\{CEB78C73-6D91-4B37-BF78-8A7181E8E962} => pcalua.exe -a D:\AC14-POL32\AC14-POL32.exe -d D:\AC14-POL32
Task: {F62E284D-4228-4FF0-A646-4C972C15A6BF} - System32\Tasks\{E584B8FC-FCCC-4FD8-855D-28AFA126A404} => pcalua.exe -a "C:\Program Files\AutoCAD Architecture 2010\acad.exe" -d "C:\Program Files\AutoCAD Architecture 2010\UserDataCache\" -c /ld "C:\Program Files\AutoCAD Architecture 2010\AecBase.dbx" /p "AutoCAD Architecture (jednostki metryczne)"
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
RemoveDirectory: C:\Program Files (x86)\SFK
RemoveDirectory: C:\Program Files (x86)\WinZipper
RemoveDirectory: C:\ProgramData\4WdM4
RemoveDirectory: C:\ProgramData\9WMiniPro9
RemoveDirectory: C:\ProgramData\TEMP
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper
RemoveDirectory: C:\Users\Ola\AppData\Roaming\TSv
RemoveDirectory: C:\Users\Ola\AppData\Roaming\WinZipper
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Users\Ola\Downloads\sh-remover.exe
C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Adobe Reader XI.lnk
C:\Users\Ola\Desktop\PROGRAMY\Adobe Reader XI.lnk
C:\Users\Ola\Desktop\PROGRAMY\AppSafe.lnk
C:\Users\Ola\Desktop\PROGRAMY\Picexa.lnk
C:\Users\Public\Desktop\Post Win10 Spybot-install.exe
C:\Windows\System32\drivers\{fef7f75c-f985-4250-96f9-8183cd04238b}Gw64.sys
C:\Windows\System32\drivers\{fef7f75c-f985-4250-96f9-8183cd04238b}w64.sys
C:\Windows\SysWOW64\pl.html
C:\Windows\SysWOW64\pl4.exe
CMD: netsh advfirewall reset
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść przeglądarki z adware:

Firefox:

Odłącz synchronizację (o ile włączona): KLIK.
Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

Zresetuj synchronizację (o ile włączona): KLIK.
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.

Opera:

Odłącz synchronizację (o ile włączona): KLIK
Ustawienia > karta Rozszerzenia > odinstaluj adware Middle Rush

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

orson · 15 Grudnia 2015

Dziękuję za odpowiedź.

Zrobiłem jak poleciłaś, ale z takim wyjątkiem, że FireFoxa i Chrome'a odinstalowałem zupełnie, gdyż ich nie używam (a nawet jeśli miałbym odświeżyć FF to musiałbym go aktualizować).

W załączeniu pliki, o które prosiłaś.

Czy wszystko udało się zrobić poprawnie?

Addition.txt

Fixlog.txt

FRST.txt

picasso · 15 Grudnia 2015

Nie za bardzo rozumiem do czego zmierzasz z aktualizacją Firefox w kontekście opcji Odśwież - w raporcie był Mozilla Firefox 34.0.5 obsługujący tę funkcję (Odśwież występuje od Firefox 13+). A deinstalacja Firefox nie usuwa profilu z dysku, na dysku on nadal jest z kupą adware w środku - gdybyś w przyszłości instalował Firefox, to ten zaśmiecony adware profil zostałby załadowany. Trzeba doczyszczać wszystko ręcznie. Kolejna porcja zadań:

1. Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Ola\AppData\Local\Akamai\netsession_win.exe"
HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
DeleteKey: HKCU\Software\Mozilla\Firefox
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy
RemoveDirectory: C:\Program Files (x86)\Google
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox
RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2
RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy
RemoveDirectory: C:\Users\Ola\AppData\Local\Google
RemoveDirectory: C:\Users\Ola\AppData\Local\Mozilla\Firefox
RemoveDirectory: C:\Users\Ola\AppData\Roaming\Mozilla\Firefox
CMD: del /q C:\Windows\SysWOW64\pl.html

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

orson · 15 Grudnia 2015

Ok, zrobione.

Co do FF to nie chcę się spierać, ale tak to wyglądało. We wskazanej przez Ciebie lokalizacji opcji odświeżenia nie było, a jak googlowałem w jej poszukiwaniu to trafiłem na stronę mozilli, gdzie był link niejako bezpośredni gdzie można było ją wyczyścić, ale był nieaktywny, a pod nim napis o wymaganej aktualizacji FF, żeby można było z tego skorzystać.

W załączeniu piliki.

PS. logów z adw było kilkanaście, ale wysyłam z najświeższy.

PS. 2 miało nie być restartu, a jednak był

Fixlog.txt

AdwCleanerS6.txt

picasso · 15 Grudnia 2015

Nie wiem skąd te problemy, opcja na pewno jest w Firefox powyżej wersji 13+ i działa niezależnie od potencjalnej aktualizacji. W starszych wersjach Firefox mogła występować pod nazwą "Zresetuj program Firefox", tylko nie pamiętam od której wersji nastąpiła zmiana nazwy. Dlatego pewnie ten link dynamiczny w pomocy Firefox nie działał i kierowało Cię do "aktualizacji" (czyli do wersji Firefox posiadającej "Odśwież" a nie "Resetuj", pomimo że to dokładnie to samo działanie).

Resetu nie miało być. Okazało się, że foldery Google i Firefox prawdopodobnie były w jakiś sposób "aktywne", w przeciwnym wypadku FRST nie przesuwałby ich przy restarcie. Ostatnia poprawka:

Otwórz Notatnik i wklej w nim:

DeleteKey: HKCU\Software\distromatic
DeleteKey: HKCU\Software\eSupport.com
DeleteKey: HKCU\Software\InstallCore
DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKCU\Software\V9
DeleteKey: HKCU\Software\Mozilla\Extends
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\delta-homes.com
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\www.delta-homes.com
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{88459867-DD98-45C8-B96A-B12B77CB698B}
DeleteKey: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pl/narzedzia-usuwania/7367-wirus-omiga-plus
DeleteKey: HKLM\SOFTWARE\Wow6432Node\delta-homesSoftware
DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp
DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode
DeleteKey: HKLM\SOFTWARE\Wow6432Node\IHProtect
DeleteKey: HKLM\SOFTWARE\Wow6432Node\PicexaSvc
DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupDp
DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupTab
DeleteKey: HKLM\SOFTWARE\Wow6432Node\supWindowsMangerProtect
DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv
DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\PicexaViewer.ico
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{88459867-DD98-45C8-B96A-B12B77CB698B}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{968EDCE0-C10A-47BB-B3B6-FDF09F2A417D}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{7D3C47ED-E0BE-4940-9DDA-A7A097AEBD88}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{1CA43A3D-3E65-435F-A71D-73A1DB05E389}
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginServices
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} /f
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files (x86)\XTab
RemoveDirectory: C:\ProgramData\IHProtectUpDate
RemoveDirectory: C:\Users\Ola\SupTab
RemoveDirectory: C:\Windows\system32\log

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

orson · 16 Grudnia 2015

Zrobione, w załączeniu fixlog.

Wszystko poszło zgodnie z planem? A co z tym folderem profilu FF i Chrome? Mogłabyś mi wskazać miejsce, gdzie mam ręcznie je usunąć, czy już może któraś z formułek, które przesłałaś to załatwiła?

Fixlog.txt

picasso · 16 Grudnia 2015

A co z tym folderem profilu FF i Chrome? Mogłabyś mi wskazać miejsce, gdzie mam ręcznie je usunąć, czy już może któraś z formułek, które przesłałaś to załatwiła?

To już dawno zrobione. Poprzedni Fix FRST zawierał to:

DeleteKey: HKCU\Software\Mozilla\Firefox

DeleteKey: HKCU\Software\MozillaPlugins

DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox

DeleteKey: HKLM\SOFTWARE\MozillaPlugins

DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox

DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins

RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox

RemoveDirectory: C:\Users\Ola\AppData\Local\Google

RemoveDirectory: C:\Users\Ola\AppData\Local\Mozilla\Firefox

RemoveDirectory: C:\Users\Ola\AppData\Roaming\Mozilla\Firefox

I wszystko zrobione. Kończymy:

1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder FRST. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

2. Materiał do wglądu na co uważać: KLIK.

orson · 16 Grudnia 2015

Dzięki wielkie za pomoc. Folder usunięty, DelFix odpalony, punkty przywracania systemu usunięte.

Myślę, że temat można zamknąć

Zaloguj się

yoursite123 - powracajacy problem

Rekomendowane odpowiedzi

orson

Odnośnik do komentarza

picasso

Odnośnik do komentarza

orson

Odnośnik do komentarza

picasso

Odnośnik do komentarza

orson

Odnośnik do komentarza

picasso

Odnośnik do komentarza

orson

Odnośnik do komentarza

picasso

Odnośnik do komentarza

orson

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność