Yoursites123 i spowolnienie działania systemu

[GrindujTopy]

Witam. Postanowiłem wziąć się za porządki na laptopie mojej kobiety, więc przeskanowałem ESET-em (aktualnym), odinstalowałem niepotrzebne programy i został problem przekierowań każdej przeglądarki na "yoursites123" i od kiedy to zaczęło występować komputer wyraźnie zwolnił. Proszę o pomoc, załączam log z Farbar Recovery Scan Tool. Pozdrawiam.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Mnóstwo obiektów adware widocznych. Działania do przeprowadzenia:

 

1. Deinstalacje:

- Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Body Text Feathering, Call Form, YTDownloader, aplikacje "Pokki" wątpliwej reputacji integrowane na Lenovo Host App Service, Lenovo Web Start oraz starą wersję Java 8 Update 51.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
AppInit_DLLs: C:\ProgramData\dlohn\Zummatam.dll => C:\ProgramData\dlohn\Zummatam.dll [363520 2016-03-08] ()
AppInit_DLLs-x32: C:\ProgramData\dlohn\Vilatone.dll => C:\ProgramData\dlohn\Vilatone.dll [257536 2016-03-08] ()
R2 amdidx; C:\Program Files\amdidx\amdidx.exe [383488 2016-01-17] () [brak podpisu cyfrowego]
R2 BrsHelper; C:\Program Files (x86)\YTDownloader\BrowserHelperSrv.exe [112560 2015-10-22] ()
R2 DCHP; C:\ProgramData\\DCHP\\DCHP.exe [400384 2016-04-12] () [brak podpisu cyfrowego]
S2 DeskTop_F; C:\ProgramData\desktopfind\desktop254.exe [236728 2016-03-16] (DeskTopService)
R2 dlohn; C:\ProgramData\\dlohn\\dlohn.exe [539136 2016-01-20] () [brak podpisu cyfrowego]
R2 IhPul; C:\Users\Natalka\AppData\Roaming\TSv\TSvr.exe [116368 2016-03-11] (tsvr.com)
S2 serfe; C:\ProgramData\\serfe\\serfe.exe -f "C:\ProgramData\\serfe\\serfe.dat" -l -a
S2 yakdo; C:\ProgramData\\yakdo\\yakdo.exe -f "C:\ProgramData\\yakdo\\yakdo.dat" -l -a
S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80160 2015-04-08] (McAfee, Inc.)
R2 sbmntr; C:\Program Files (x86)\YTDownloader\sbmntr.sys [58528 2015-10-22] (YTDownloader)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
Task: {01489A37-BFBB-4BFE-BBB0-B074A014CD2E} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-02] (Lenovo)
Task: {1DB97C7E-7609-4EEF-8DD2-0A03370FAFB3} - System32\Tasks\psv_Greentax => /c regedit.exe /s "C:\ProgramData\dlohn\Jobdax.reg" & del "C:\ProgramData\dlohn\Jobdax.reg" & SCHTASKS /Delete /TN "psv_Greentax" /F 
Task: {1DD30DAA-6E92-4595-BBDF-F93629C5096D} - System32\Tasks\psv_Joytam => /c regedit.exe /s "C:\ProgramData\serfe\Saltcore.reg" & del "C:\ProgramData\serfe\Saltcore.reg" & SCHTASKS /Delete /TN "psv_Joytam" /F 
Task: {385EBCAA-73BA-435F-9AD9-EC7BFAAB899E} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-10-16] (Lenovo)
Task: {3A8A3034-887F-4269-BA4B-45ABDAF99626} - System32\Tasks\psv_Latsankix => /c regedit.exe /s "C:\ProgramData\dlohn\Unophase.reg" & del "C:\ProgramData\dlohn\Unophase.reg" & SCHTASKS /Delete /TN "psv_Latsankix" /F 
Task: {5C74706C-9F46-47A7-A049-4E26D091CE80} - System32\Tasks\psv_Zoomcore => /c regedit.exe /s "C:\ProgramData\serfe\Touch-Lax.reg" & del "C:\ProgramData\serfe\Touch-Lax.reg" & SCHTASKS /Delete /TN "psv_Zoomcore" /F 
Task: {770B41A8-5537-4E91-9B02-B0D2FFA59ACA} - System32\Tasks\Call Form => Rundll32.exe "C:\Users\Natalka\AppData\Local\Call Form\{B49D99C5-345C-2EBB-7681-69580AE8BE65}\CallForm.dll",#1 
Task: {7D5DC876-066E-44C9-A5C5-2B3BB0B98AD4} - System32\Tasks\SweetLabs App Platform => C:\Users\Natalka\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe [2016-04-14] (Pokki)
Task: {8CA7A5FB-4F4B-4201-B3E8-B5C43B1325D8} - System32\Tasks\psv_DoubleQuostrong => /c regedit.exe /s "C:\ProgramData\dlohn\Trustsoft.reg" & del "C:\ProgramData\dlohn\Trustsoft.reg" & SCHTASKS /Delete /TN "psv_DoubleQuostrong" /F 
Task: {9A1B9764-4DDF-4DC2-A3E7-BDE7A3BD58FC} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe [2015-10-22] (YTDownloader) 
Task: {ABA3F571-725E-4F1F-B976-C1ECB6AC639D} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-05-30] (Lenovo)
Task: {D11F1C0C-AB7D-47B0-BBA0-D284CE5B98FF} - System32\Tasks\psv_Latlab => /c regedit.exe /s "C:\ProgramData\dlohn\StockRemcore.reg" & del "C:\ProgramData\dlohn\StockRemcore.reg" & SCHTASKS /Delete /TN "psv_Latlab" /F 
Task: {D58D529E-D8C7-4EB1-92A9-AA001240205A} - System32\Tasks\YTDownloaderUpd => C:\Program Files (x86)\YTDownloader\updater.exe [2015-10-22] (Goobzo) 
Task: {D9E1BD74-F7CE-4BD5-9768-CE1B00BBE486} - System32\Tasks\Call Form2 => Rundll32.exe "C:\Users\Natalka\AppData\Local\Call Form\{B49D99C5-345C-2EBB-7681-69580AE8BE65}\mqku.dll",#1 
HKLM-x32\...\Run: [YTDownloader] => C:\Program Files (x86)\YTDownloader\YTDownloader.exe [1991600 2015-10-22] (YTDownloader)
HKLM-x32\...\Run: [ospd_us_013010209] => [X]
HKU\S-1-5-21-899261099-702920328-1542426104-1001\...\Run: [bingSvc] => C:\Users\Natalka\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-04-07] (© 2015 Microsoft Corporation)
HKU\S-1-5-21-899261099-702920328-1542426104-1001\...\Run: [VideoDownloaderUltimate] => C:\ProgramData\VideoDownloaderUltimateWinApp\VideoDownloaderUltimate.exe /repair
HKU\S-1-5-21-899261099-702920328-1542426104-1001\...\Run: [YTDownloader] => C:\Program Files (x86)\YTDownloader\YTDownloader.exe [1991600 2015-10-22] (YTDownloader)
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Mafia II\Mafia II Launcher.lnk -> C:\Program Files (x86)\2K Games\Mafia II\launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793
ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64
ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64
ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64
ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64
GroupPolicy: Ograniczenia - Chrome 
CHR HomePage: Default -> hxxp://www.msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl
CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793"
CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms}
CHR DefaultSearchKeyword: Default -> yoursites123
CHR HKU\S-1-5-21-899261099-702920328-1542426104-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - hxxps://clients2.google.com/service/update2/crx
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms}
HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms}
HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hTIpkbapHKXA1ReyT1rF9daKqRPhK-t38_XnZOpkzTQbAVOE3Hcl-74lUuq_DbE6oDz_KwO2NLAAl21J3SBpDCVU-M,
HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793
HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms}
HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms}
SearchScopes: HKU\S-1-5-21-899261099-702920328-1542426104-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-899261099-702920328-1542426104-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms}
SearchScopes: HKU\S-1-5-21-899261099-702920328-1542426104-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1453028594&z=1bfa05b5bf8c639e4309b23gcz8w7c0ebo6baw2t5q&from=face&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v MyDriveConnect.exe /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v VideoDownloaderUltimate /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTDownloader /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLMLServer_For_P2G8 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLVirtualDrive /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v YTDownloader /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
C:\Program Files\amdidx
C:\Program Files (x86)\GUMB43A.tmp
C:\Program Files (x86)\SFK
C:\Program Files (x86)\YTDownloader
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\settings.cfg
C:\ProgramData\DCHP
C:\ProgramData\desktopfind
C:\ProgramData\dlohn
C:\ProgramData\Pokki
C:\ProgramData\serfe
C:\ProgramData\yakdos
C:\ProgramData\yakdo
C:\Users\Natalka\AppData\Local\U-street.dat
C:\Users\Natalka\AppData\Local\U-street.exe.config
C:\Users\Natalka\AppData\Local\Call Form
C:\Users\Natalka\AppData\Local\SweetLabs App Platform
C:\Users\Natalka\AppData\Local\Microsoft\BingSvc
C:\Users\Natalka\AppData\Roaming\TSv
C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk
C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk
C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk
C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader
C:\Users\Natalka\Desktop\YTDownloader.lnk
C:\Users\Natalka\Desktop\Nowy folder\Nowy folder\Kholat.lnk
C:\Users\Natalka\Desktop\Nowy folder\Nowy folder\Need For Speed Most Wanted.lnk
C:\Users\Natalka\Desktop\x\Freenet.lnk
C:\Users\Natalka\Desktop\x\Start Tor Browser.lnk
C:\Windows\System32\drivers\mfeelamk.sys
C:\Windows\SysWOW64\findit.xml
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Google Chrome z adware:

• Zresetuj synchronizację (o ile włączona), punkt 2: KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj: Block site (wątpliwe rozszerzenia marki Wips - wbudowane spyware), Call Form (adware, może już nie być widoczne po skrypcie FRST), Video Downloader professional (wątpliwe rozszerzenie), YouTube To MP3! (usunięte z Chrome Web Store z nieznanego powodu).
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

[GrindujTopy]

Zrobiłem wszystko, Chrome odinstalowałem bo i tak Opera jest wygodniejsza i nie sprawia problemów. 

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Prawie wszystko zrobione. Niestety aktywny śmieć adware zdążył się podmienić we wpisach AppInit_DLLs i nowe pozycje wskoczyły. Poprawki:

 

1. Otwórz Notatnik i wklej:

 

CloseProcesses:
CreateRestorePoint:
AppInit_DLLs: C:\ProgramData\idna\Stock-Stock.dll => C:\ProgramData\idna\Stock-Stock.dll [361984 2016-04-25] ()
AppInit_DLLs-x32: C:\ProgramData\idna\Kaycore.dll => C:\ProgramData\idna\Kaycore.dll [257536 2016-04-25] ()
S2 idna; C:\ProgramData\\idna\\idna.exe -f "C:\ProgramData\\idna\\idna.dat" -l -a
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\Program Files (x86)\Google
RemoveDirectory: C:\ProgramData\idna
RemoveDirectory: C:\ProgramData\idnas
RemoveDirectory: C:\Users\Natalka\AppData\Local\Google
CMD: del /q C:\WINDOWS\SysWOW64\pl.html

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[GrindujTopy]

Zrobiłem to. Mam jeszcze jedną prośbę, mianowicie chciałbym się pozbyć tych aplikacji bloatware od Lenovo, które można bezpiecznie usunąć aby komputer był dalej funkcjonalny? Sądzę, że wpłynie to dobrze na wydajność i zużycie baterii, która już zauważalnie krócej wytrzymuje, mimo że komputer ma niecały rok i był używany głównie z wyjętym akumulatorem, na zasilaczu.

Fixlog.txt

AdwCleanerS1.txt

[picasso]

Fix FRST pomyślnie wykonany. Kontynuując czyszczenie adware:

 

1. Uruchom AdwCleaner ponownie, zastosuj po kolei Skanuj + Usuń. Gdy program skończy czyszczenie, odinstaluj go za pomocą opcji w interfejsie. Następnie przez SHIFT+DEL (omija Kosz) skasuj z dysku ten folder:

 

C:\Users\Natalka\AppData\Local\Installer

 

2. Zrób skan za pomocą Hitman Pro i dostarcz wynikowy log.

 

 

Mam jeszcze jedną prośbę, mianowicie chciałbym się pozbyć tych aplikacji bloatware od Lenovo, które można bezpiecznie usunąć aby komputer był dalej funkcjonalny?

Na analizę tego wątku potrzebuję więcej czasu. Odpowiem w tej kwestii potem.

[GrindujTopy]

Nie mogę dodać loga jako załącznik tutaj, więc wrzuciłem na hosting. Dziękuję bardzo za pomoc, komputer o wiele szybciej pracuje, chyba już jest ok. 
https://megawrzuta.pl/download/b1651f4f12cf69721be98c7a8ef00a1c.html

[Rucek]

Mam jeszcze jedną prośbę, mianowicie chciałbym się pozbyć tych aplikacji bloatware od Lenovo, które można bezpiecznie usunąć aby komputer był dalej funkcjonalny?

 

Na analizę tego wątku potrzebuję więcej czasu. Odpowiem w tej kwestii potem.

Co do tego, to Picasso wcześniej mówiła, że można usunąć te:

 

Lenovo Browser Guard

Lenovo Experience Improvement

Lenovo Pokki (Pokki, Start Menu) integrowane na Lenovo - smiec

Lenovo REACHit

Lenovo Superfish Inc. VisualDiscovery,

Lenovo Web Start

 

Jeśli to masz - usunięcie nie powinno nic popsuć - ale - sugeruję i tak poczekać, czy Picasso to zatwierdzi czy nie.

[picasso]

GrindujTopy

 

Jeśli chodzi o problem z załączeniem pliku, to w instrukcji było podane, by zmienić rozszerzenie z *.log na *txt.

 

1. Usuń za pomocą Hitman pliki sklasyfikowane jako "malware" oraz wszystkie wykryte cookies. Hitman możesz odinstalować lub zostawić do skanów na żądanie w przyszłości.

 

2. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK.

 

To wszystko, jeśli chodzi o czyszczenie z adware.

 

 

Mam jeszcze jedną prośbę, mianowicie chciałbym się pozbyć tych aplikacji bloatware od Lenovo, które można bezpiecznie usunąć aby komputer był dalej funkcjonalny?

Obecnie widać następujące pozycje:

 

==================== Zainstalowane programy ======================
 

CCSDK (HKLM-x32\...\{AE75190B-11B4-4F90-8254-DAB275CF2557}_is1) (Version: 1.1.0.7 - Lenovo)

Lenovo Bluetooth with Enhanced Data Rate Software (HKLM\...\{C6D9ED03-6FCF-4410-9CB7-45CA285F9E11}) (Version: 12.0.0.9840 - Broadcom Corporation)

Lenovo Dependency Package (HKLM\...\Lenovo Dependency Package_is1) (Version: 1.6.38.00 - Lenovo Group Limited)

Lenovo EasyCamera (HKLM-x32\...\{E0A7ED39-8CD6-4351-93C3-69CCA00D12B4}) (Version: 6.2.9200.10292 - Realtek Semiconductor Corp.)

Lenovo FusionEngine (HKLM-x32\...\Lenovo FusionEngine) (Version: 1.0.13.0 - Lenovo, Inc.)

Lenovo OneKey Recovery (HKLM-x32\...\InstallShield_{46F4D124-20E5-4D12-BE52-EC177A7A4B42}) (Version: 8.1.0.2619 - CyberLink Corp.)

Lenovo PhoneCompanion (HKLM-x32\...\InstallShield_{0F82EA83-B0C5-4AB9-9695-DFE92C5FD57B}) (Version: 2.0.0.19 - Lenovo)

Lenovo Photo Master (HKLM-x32\...\InstallShield_{BC94C56A-3649-420C-8756-2ADEBE399D33}) (Version: 1.0.1826.01 - CyberLink Corp.)

Lenovo PowerDVD10 (HKLM-x32\...\InstallShield_{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}) (Version: 10.0.6806.52 - CyberLink Corp.)

Lenovo Settings - Camera Audio (HKLM\...\{88C6A6D9-324C-46E8-BA87-563D14021442}_is1) (Version: 4.3.5.0 - Lenovo Corporation)

Lenovo Settings (HKLM\...\{D14CCBF5-1A3A-4C08-955B-BE6D519835C4}_is1) (Version: 2.0.0.4 - Lenovo)

Lenovo Settings Dependency Package (HKLM\...\{3694BA2E-BE31-4B7E-886B-A0B559E69D4D}_is1) (Version: 2.3.1.28 - Lenovo Group Limited)

Lenovo Settings Service (HKLM\...\{8C6F1EBA-17F1-4481-B688-9777E63E985F}_is1) (Version: 2.3.0.20 - Lenovo Group Limited)

Lenovo Settings UMDF driver (HKLM\...\{2BDC7413-65EA-4B99-8C4B-02F11075BE6D}_is1) (Version: 1.2.0.6 - Lenovo Group Limited)

Lenovo Settings WiFi (HKLM\...\{86045A6C-C156-4349-A3E2-47A88A42F5C2}_is1) (Version: 2.0.0.2 - Lenovo)

Lenovo Solution Center (HKLM\...\{4C2B6F96-3AED-4E3F-8DCE-917863D1E6B1}) (Version: 2.7.003.00 - Lenovo Group Limited)

Lenovo VeriFace Pro (HKLM\...\Lenovo VeriFace) (Version: 5.1.14.6181 - Lenovo)

Lenovo_Wireless_Driver (HKLM-x32\...\{5D642A72-8194-4A22-80DA-11FE610CCA8E}) (Version: 6.30.223.201 - Lenovo)

OneKey Optimizer (HKLM-x32\...\InstallShield_{D5D573DC-D989-4769-9B56-D6A7EA503D7F}) (Version: 1.1.20.16 - Lenovo)

 

Z tej grupy ruszyłabym tylko CCSDK (jakoś go przeoczyłam, to element "zbierania statystyk") oraz o ile z nich nie korzystacie Lenovo PhoneCompanion (związane z synchronizacją telefonu), Lenovo Photo Master i Lenovo PowerDVD10. Ewentualnie Lenovo VeriFace Pro, jeśli nie jest używany system identyfikacji za pomocą twarzy.

 

 

Rucek

 

On nie ma takich programów na liście. A Pokki już odinstalowane. Zadałam do deinstalacji Host App Service (Pokki), Lenovo Web Start (Pokki) i Metric Collection SDK 35 + usunęłam skryptem FRST zbędne zadania "Lenovo Customer Feedback Program" zbierające dane.

[Rucek]

@Picasso - ok, dzięki, nie patrzyłem na logi, zaktualizowałem swoją listę "śmieci od lenovo".

[GrindujTopy]

Dziękuję bardzo za pomoc. Bardzo profesjonalne podejście, jutro prześlę jakiś grosz na utrzymanie strony. Pozdrawiam.

DelFix.txt

[picasso]

DelFix wykonał robotę. Skasuj z dysku plik raportu C:\delfix.txt.

 

Temat rozwiązany. Zamykam. Wielkie dzięki za ewentualne wsparcie.