Miszel03

OK. Nie mam pomysłu na naprawę tego. Najlepiej zgłoś swój temat w temacie picasso - KLIK, ona pewnie będzie wiedziała co zrobić.

Nie ma się prawie tutaj czym zajmować. Brak czynnych infekcji adware / PUP. Do wykonania końcowe oczyszczanie i kosmetyka. Myślę, że ten problem zniknie po wykonaniu poniższych zaleceń. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = S3 gdrv; \??\C:\Windows\gdrv.sys [X] Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku C:\Users\ZUB2\Documents\Play - e-faktura do pobrania - 13.02.2015_pliki — skrót.lnk C:\Users\ZUB2\Desktop\aktualizacja gang.lnk C:\Users\ZUB2\Desktop\aktualizacja kaper.lnk C:\Users\ZUB2\Desktop\aktualizacja mag.lnk C:\Users\ZUB2\Desktop\m_pojazdow — skrót.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ZUB2\AppData\Local CMD: dir /a C:\Users\ZUB2\AppData\LocalLow CMD: dir /a C:\Users\ZUB2\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Zamykam, gdyby problem wrócił proszę o wiadomość po przez prywatną wiadomość.

Raczej jest to mało prawdopodobne (mi np. raz klawiatura szalała jak opętana po niemiłym spotkaniu z wodą), mówię: nic tu nie wskazuję na takową ingerencję. Skasuj jeszcze ręcznie te lokalizacje: (zapomniałem dać do usuwania) C:\WINDOWS\System32\Tasks\TweakBit C:\ProgramData\TweakBit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TweakBit

Daj mi jeszcze trochę czasu na to, tymczasem wykonaj jeszcze to (ma to związek z infekcjami): 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Gооglе Сhrоmе.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Intеrnеt Ехрlоrеr.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz (jako kodowanie UTF-8) pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dostarcz plik Fixlog.txt

Raporty wyglądają już OK, jeśli będzie już wszystko w porządku to wykonaj poniższe zadania. Usuń narzędzia diagnostyczno / dezynfekcyjne, punkty przywracania oraz zaktualizuj ważne programy - KLIK / KLIK / KLIK. Zapoznaj się z artykułem dot. portalów z oprogramowaniem - KLIK.

Skoro wszystko działa jak należy to kończymy. P.S: Mnie chodziło o to, abyś wyłączyła Nortona i zobaczyła czy podczas jego braku pracy problem występuje.

W raportach brak oznak infekcji, w spoilerze działania poboczne (usunięcie adware, a bardziej tzw. "witaminek") oraz kosmetyka.

W systemie faktycznie umiejscowiło się ustrojstwo samoistnie uruchamiające strony, świadczą o tym poniższe wpisy. HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Run: [a] => explorer.exe hxxp://kb-ribaki.org Task: {96C8EDD4-4AAB-42DA-B57A-F46B0F7A15A9} - System32\Tasks\a => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v a /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" Po za tym szkodliwe zmodyfikowane zostały polityki grup, plik Hosts, strona startowa w przeglądarce Opera oraz mapa domen w przeglądarce Internet Explorer. Zaczynamy. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Run: [a] => explorer.exe hxxp://kb-ribaki.org HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku GroupPolicy\User: Ograniczenia GroupPolicyUsers\S-1-5-21-3029930857-75846965-513736063-1004\User: Ograniczenia OPR StartupUrls: "hxxp://www.viceice.com/" S3 ALSysIO; \??\C:\Users\a\AppData\Local\Temp\ALSysIO64.sys [X] U4 aspnet_state; Brak ImagePath Task: {0E290C5A-E448-4B52-88D2-C0D6CC124D04} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {190EE76C-8FD2-4ED3-9409-FA9CF48F1022} - \Safer-Networking\Spybot - Search and Destroy\Check for updates -> Brak pliku Task: {25163D73-4287-496E-90DB-C889AED68EC6} - \{81E27DC7-FE6C-43C1-B00C-D6438B953CBE} -> Brak pliku Task: {3BB0A579-F9E0-4210-940C-EA198390F9A6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {4716494B-9F5F-404A-97AB-53DC5C45CE09} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {4C00A19B-E4F1-4D56-8DCF-0E47CA04F081} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {624F7E00-A058-4937-87B6-8387A89DE4CA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {9014E7D0-6D5A-419F-8FCC-E7CFCA808A98} - \Safer-Networking\Spybot - Search and Destroy\Scan the system -> Brak pliku Task: {96C8EDD4-4AAB-42DA-B57A-F46B0F7A15A9} - System32\Tasks\a => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v a /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" Task: {9D7D9F7B-EDCD-4090-812D-C71191EE713E} - \{98CA4D20-FC4D-4B3B-8F85-2F12EACB9230} -> Brak pliku Task: {B5815E6D-0BB7-4C42-BAD8-A880475B6934} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {CB6BA3EF-32A0-4858-9671-3C45C3195E10} - \Safer-Networking\Spybot - Search and Destroy\Refresh immunization -> Brak pliku Task: {CC6AB63C-6A63-4B3C-9F18-B852972AC3AF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {DC82B4C0-854D-43B3-82BE-1D873E44AEC1} - System32\Tasks\Realtek HD Audio => C:\Users\a\AppData\Local\SniperV2\Realtek HD\rthdcpl.exe Task: {E3C491BE-030E-46EF-B1AA-2977622B3949} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {E7BEB8AA-E05B-48E5-9C89-238A40DC7CFD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {EC3DA0C2-10B2-42E5-BEAB-CD63D6D00E9D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {F7A31922-4D2D-494E-B566-4E7C81784E13} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Folder: C:\Users\a\AppData\Local\SniperV2\Realtek HD CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\a\AppData\Local CMD: dir /a C:\Users\a\AppData\LocalLow CMD: dir /a C:\Users\a\AppData\Roaming DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Masz2oo2 Wejdź w Panel sterowania, następnie w Sieci I Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej (boczny panel) > Wybierasz swoją sieć > Z PPM wybierz Właściwość > Zaznacz Protokół internetowy w wersji 4 (TCP/IPv4) > Właściwości > Sekcja Użyj następujących adresów serwera DNS > W Preferowany adres serwera DNS wpisz 8.8.8.8, a w alternatywnym 8.8.4.4 (To są adresy Google) > Zapisz zmiany > Uruchom ponownie komputer > Sprawdź połączenie.

Sprawy poboczne wykonane pomyślnie. Sprawdziłem u siebie jak to wygląda i mi wszystko działa prawidłowo. Sprawdź jaki rezultat będzie po wyłączeniu Twojego oprogramowania zabezpieczającego, czyli Nortona.

Grimm uważaj na słowa i zachowaj kulturę. Post Lennego zostanie wydzielony jako osobny temat. Pozdrawiam.

Nie prowadzę tematu, ale Jessica pewnie powiedziała by Ci to samo co ja. Spróbuj odinstalować program Booking.com z poziomu tryby awaryjnego.

Proponuję przeinstalować Operę na czysto. 1. W Operze wyeksportuj zakładki. Przez Panel sterowania odinstaluj obie zakreślone niżej pozycje. Opera Stable 40.0.2308.81 (HKLM-x32\...\Opera 40.0.2308.81) (Version: 40.0.2308.81 - Opera Software) Opera Stable 41.0.2353.69 (HKLM-x32\...\Opera 41.0.2353.69) (Version: 41.0.2353.69 - Opera Software) 2. Skasuj ewentualnie resztki (wypisane po niżej) po Operze. C:\Program Files\Opera C:\Users\beata\AppData\Roaming\Opera C:\Users\beata\AppData\Local\Opera 3. Zainstaluj najnowszą Operę, zaimportuj zakładki i napisz czy to coś dało. W spoilerze sprawy poboczne, nie mające związku z problemem.

Czy w innych przeglądarkach dzieję się tak samo? Dostarcz raporty z narzędzia Farbar Recovery Scan Tool. ====== EDIT: Gdyby odsyłacz nie zadziałał to tu link: http://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/#entry160527

1. Przez menu Start wejdź do folderu Narzędzia Administracyjne, a następnie z niego uruchom aplikację Usługi. 2. Odnajdź usługę Kompozycje, jeśli jest wyłączona to z PPM wybierz Uruchom, a jeśli jest włączona to tak samo z PPM wybierz opcję Uruchom Ponownie. (Tryb automatyczny / ręczny) 3. Uruchom ponownie komputer. Napisz czy coś to pomogło.

Dostarcz wymagane raporty systemowe z narzędzia FRST oraz GMER.

Wygląda na to, że wszystko pomyślnie usunięte i wykonane. Muszę pomyśleć nad rozwiązaniem problemu z kompozycją Aero.

Dziwne AdwCleaner nie jest w stanie usunąć FLLogs, więc niestety (musisz na nowo pobrać narzędzie FRST, niepotrzebnie zlecałem pkt. 3 no, ale cóż...nie spodziewałem się odmowy AdwCleanera) spróbujemy to zrobić w FRST. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1844162989-3989572184-385285012-1000\...\Run: [FLlogs] => wscript.exe //B "C:\Users\Radek\AppData\Roaming\FLlogs.vbs" Startup: C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FLlogs.vbs [2016-03-05] () 2016-02-29 11:01 - 2016-03-05 08:22 - 0000000 _____ () C:\Users\Radek\AppData\Roaming\FLlogs.vbs Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dostarcz Fixlog.txt

Raporty dostarczone, więc idziemy dalej. 1. W AdwCleaner: znowu skanowanie, ale po nim kliknij Usuń (Clean) i jak poprzednio dostarcz raport z tego działania. 2. Skasuj ręcznie plik C:\Users\Radek\AppData\Local\nsl2A16.tmp oraz folder C:\Users\Radek\AppData\Local\UCBrowser 3. Zaktualizuj ważne programy oraz usuń narzędzia diagnostyczno / dezynfekcyjne - KLIK / KLIK.

Najpierw oczyścimy system, dopiero po tym zajmiemy się problemem z kompozycją Aero. A gdzie raporty FRST? Zapoznaj się z pkt. 4 mojego przedniego posta.

Wszystko napisane jest pod skryptem. Pomiń ten krok.

Najpierw sprawy infekcji. W systemie ślady adware / PUP (m.in UCBrowser), które przypuszczalnie założyły blokady typu Debugger na aplikacje RegWorks oraz RSIT. Akcja: 1. Uruchom ewentualny deinstalator (pliki typu uninstall.exe) z folderu: C:\Program Files (x86)\UCBrowser 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: IFEO\RegWorks.exe: [Debugger] svchost.exe IFEO\RSITx64.exe: [Debugger] svchost.exe GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia S1 bzuamdgc; \??\C:\Windows\system32\drivers\bzuamdgc.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 MSICDSetup; \??\H:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\H:\NTIOLib_X64.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] 2016-11-26 10:25 - 2016-11-26 10:56 - 00000292 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job 2016-11-26 10:25 - 2016-11-26 10:25 - 00002556 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore 2016-11-17 07:45 - 2016-10-14 10:13 - 00000000 ____D C:\Program Files (x86)\UCBrowser 2016-11-13 17:08 - 2016-10-14 10:15 - 00003430 _____ C:\Windows\System32\Tasks\UCBrowserUpdater 2016-11-06 16:30 - 2016-11-06 16:30 - 07299584 _____ C:\Users\Radek\AppData\Roaming\agent.dat 2016-11-06 16:30 - 2016-11-06 16:30 - 00018432 _____ C:\Users\Radek\AppData\Roaming\Main.dat 2016-11-06 16:29 - 2016-11-06 16:29 - 00140288 _____ C:\Users\Radek\AppData\Roaming\Installer.dat Task: {4F53EC71-FF85-4089-B0A5-7F0D07CE83CE} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-16] (UCWeb Inc) Task: {9BC7D7A6-D070-45C3-83B5-5AB0E7ABFCCB} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-16] (UCWeb Inc) Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Radek\AppData\Local CMD: dir /a C:\Users\Radek\AppData\LocalLow CMD: dir /a C:\Users\Radek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy raport FRST z opcji Skanuj (Scan) razem z Addition i Shortcut. Dołącz też plik fixlog.txt.

Takich rzeczy nie powinno się robić ręcznie, w Twoim przypadku w ogóle się tego nie powinno robić. Po skanie SFC zobaczymy co się w związku z tym dzieję. Priorytetowo będziemy zajmować się dezynfekcją systemu z adware (przypuszczalnie wiedziałeś o tym i próbowałeś się ratować się takimi programami jak YAC / SpyHunter), dopiero potem zajmiemy się problem, z którym tu się zgłosiłeś. 1. Otwórz Notatnik wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku BootExecute: autocheck autochk * sh4native Sh4Removal GroupPolicy: Ograniczenia - Chrome GroupPolicyScripts: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK&q={searchTerms} HKU\S-1-5-21-773405090-3852603061-2223838452-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452236987&z=1b131ef0d9495c6b9d449e2gcz5w4obo0c6m7efe1q&from=wpm01073&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-773405090-3852603061-2223838452-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggUJF9ZUQhHRRgQJQpeTA0QEQUOIlpZAxRCRwcQcA4KAF0VEVQFIk0FA1oDB0VXfV5bFElXTwhgNUpMDlQUU2VRL1RXEg==" S3 XLHHardware_1_0; \??\C:\Program Files (x86)\DLL Tool\XLHHardwarex64.sys [X] C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat Task: {329B6223-F175-47CC-9F80-D70C89E6B950} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe [2015-10-30] (WF) Task: {81179906-107E-4A7F-A9F1-5A64194C3C5E} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe [2015-10-30] (WF) Task: {F986C2F8-C6AA-41C7-8E8E-8B914D6C43B0} - System32\Tasks\SpyHunter4Startup => C:\Program Files\SpyHunter\SpyHunter4.exe ShortcutWithArgument: C:\Users\xxxx\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450076426&z=1e81ff3acb25ffcd5911444g7zcw9e7e1m5qez2cdg&from=wpm07173&uid=ST1000DM003-1ER162_Z4Y40JXKXXXXZ4Y40JXK AlternateDataStreams: C:\ProgramData\TEMP:6BE50C2B [540] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\xxxx\AppData\Local\Mozilla C:\Users\xxxx\AppData\Roaming\Mozilla C:\Users\xxxx\AppData\Roaming\Profiles Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\xxxx\AppData\Local CMD: dir /a C:\Users\xxxx\AppData\LocalLow CMD: dir /a C:\Users\xxxx\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 2. Przez panel sterowania odinstaluj (oczywiście w tym wypadku decyzja należny do Ciebie) wątpliwy, oskarżony o kradzież bazy danych MBAM program: YAC (Yet Another Cleaner!) 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy raport FRST z opcji Skanuj (Scan) razem z Addition i Shortcut. Dołącz też plik fixlog.txt. 5. Wydobądź wszystkie pliki tekstowe (raporty) z folderu C:\AdwCleaner i umieść je na jakimś hostingu, lub dodaj po kolei w załącznikach.

Dostarcz jeszcze log Shortcut.txt z narzędzia Farbar Recovery Scan Tool.