picasso

Problem główny rozwiązany. Jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Formatowanie to byłaby akcja kompletnie nieproporcjonalna. To jest drobny hijacker. I ten typ śmieci wchodzi takimi drogami: KLIK. Został tu uruchomiony jakiś instalator ze sponsorami... Brakuje nowego głównego skanu FRST.txt. Uzupełnij.

1. Uruchom AdwCleaner ponownie. Tym razem po kolei wybierz opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Na koniec: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK. 3. I cały system do aktualizacji. Stan to obecny to brak pakietu SP1 + IE11 i reszty łat: Platform: Windows 7 Ultimate (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: FF)

Logi nie były za duże, wstawiłam w załączniki. Wszystko pomyślnie wykonane. Na zakończenie: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wracając do postu #10: Tu nie ma problemu infekcji. Za to mamy tu scrackowany Windows (spatchowane pliki generują błędy w Dzienniku zdarzeń). Nie objaśniłeś na czym polega problem "nie da się na nim pracować". Jeśli występuje jakieś zamulenie, to następujące sugestie: 1. Bieda z wolnym miejscem na dysku. Brak dostatecznie dużej przestrzeni może być powodem spowolnienia. Drive c: () (Fixed) (Total:97.65 GB) (Free:6.59 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] 2. Pozbądź się bardzo starych programów, które aktywnie się ładują przy udziale usług i sterowników. Tzn.: - Z poziomu Menu Start uruchom deinstalator Alcohol 120%. Następnie z poziomu Panelu sterowania odinstaluj stary TuneUp Utilities 2011. Możesz także pozbyć się aktualizatora NVIDIA GeForce Experience 1.8.2.1, kilka procesów odpadnie. - Zastosuj narzędzie SPTDInst, by wyrzucić powiązany z Alcoholem sfatygowany SPTD. 3. Aktywność ESET Smart Security może mieć coś do rzeczy. Jeśli w/w kroki nie wniosą nic do sprawy, przetestuj jak system działa po deinstalacji. PS. A w spoilerze drobne działania poboczne i skrypt kosmetyczny do wykonania (mikro odpadki adware, wpisy puste), on nie rozwiąże problemów:

Nie wyjaśniłeś o co chodzi z logiem GMER - podałeś log z cudzego komputera... Tak ma być, Fixlist znika podczas wykonania skryptu. Fix FRST wykonany. Więcej do czyszczenia nic nie ma. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Adobe Shockwave Player 11.6, Java 7 Update 67, Java 8 Update 45 oraz adware Search App by Ask. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gw64; C:\Windows\System32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gw64.sys [48792 2015-01-18] (StdLib) R2 IhPul; C:\Users\Admin\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 PicexaService; C:\Program Files (x86)\Picexa\PicexaSvc.exe [731784 2015-12-09] (Taiwan Shui Mu Chih Ching Technology Limited) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\aWdMa\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] HKU\S-1-5-21-3564939431-14407423-2232478383-1001\...\Run: [bingSvc] => C:\Users\Admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421613586&from=cor&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421613586&from=cor&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} HKU\S-1-5-21-3564939431-14407423-2232478383-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH HKU\S-1-5-21-3564939431-14407423-2232478383-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818831&z=5a0ea02a034ae54c10961f7gdzczao0bdgeb7bec3c&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} HKU\S-1-5-21-3564939431-14407423-2232478383-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.msn.com/?PC=AV01 HKU\S-1-5-21-3564939431-14407423-2232478383-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH HKU\S-1-5-21-3564939431-14407423-2232478383-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818831&z=5a0ea02a034ae54c10961f7gdzczao0bdgeb7bec3c&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818831&z=5a0ea02a034ae54c10961f7gdzczao0bdgeb7bec3c&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818831&z=5a0ea02a034ae54c10961f7gdzczao0bdgeb7bec3c&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {ACC52B24-A956-4C55-B2A7-64BD53CDAF96} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {FDFEEB45-4A6B-4A30-8B24-494E19ECF4A8} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPluginx64.dll => Brak pliku Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH CHR HKU\S-1-5-21-3564939431-14407423-2232478383-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx HKU\S-1-5-21-3564939431-14407423-2232478383-1001\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku CHR HKU\S-1-5-21-3564939431-14407423-2232478383-1001\SOFTWARE\Policies\Google: Ograniczenia Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\Picexa RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\aWdMa RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit RemoveDirectory: C:\Users\Admin\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{690E0F07-2CBB-4E9E-8468-10B0CAF56D0D} RemoveDirectory: C:\Users\Admin\AppData\Roaming\Picexa Viewer RemoveDirectory: C:\Users\Admin\AppData\Roaming\TSv C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Admin\AppData\Roaming\Microsoft\Excel\Projekt-zarzadzanie-13.12304882382700332959\Projekt-zarzadzanie-13.12.xlsx.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Excel\MTM304883490099503112\MTM.xlsx.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Excel\2%20(1)304883681391867324\2%20(1).xlsx.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Public\Desktop\Picexa.lnk C:\Windows\System32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gw64.sys C:\WINDOWS\SysWOW64\pl.html C:\WINDOWS\SysWOW64\pl2.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Goole Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsorowany Bing, o ile nadal będzie widoczny. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W logu są ślady, że problem adware (nie tylko tytułowy) zaczął się przy pobieraniu "Free Word To PDF", użyłeś jakiś "downloader" portalowy... Więcej na ten temat: KLIK. Kolejna sprawa: używałeś skaner-naciągacz SpyHunter, z daleka od tego świństwa, nie szukać "pełnej wersji". I było podejście z HijackThis, a to stary 32-bitowy program zupełnie niezdatny na systemie 64-bit! Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare wersje i pozostałe: Adobe AIR, AVG Web TuneUp, Java 7 Update 17 (64-bit), Java 7 Update 21, Mozilla Firefox 33.1.1 (x86 pl), SpyHunter. Uwaga: zakładam, że deinstalacja Firefox zostanie wykonana i w punkcie 2 w skrypcie doczyszczam elementy Firefox. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 WdMan; C:\ProgramData\SWdMS\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [File not signed] ShortcutWithArgument: C:\Users\KO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\Users\KO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\Users\KO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\Users\KO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\Users\KO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\Users\KO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\Users\KO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2044814858-3257045265-4192325483-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2044814858-3257045265-4192325483-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2044814858-3257045265-4192325483-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={93343963-E764-42B8-8047-6BE83FD753AE}&mid=6b0653b77c2147d08c5181ac0f018585-4323c9a1a5a383db39737bd017fae0a1668e3319&lang=en&ds=AVG&coid=avgtbavg&cmpid=0915wt&pr=un&d=2015-09-13 20:01:02&v=4.1.6.294&pid=wtu&sg=&sap=dsp&q={searchTerms} Toolbar: HKU\S-1-5-21-2044814858-3257045265-4192325483-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1448450618&z=75314eddb34a151c27cebf0g8z7z3bdz0wfeccbc5m&from=cor&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE HKU\S-1-5-21-2044814858-3257045265-4192325483-1000\...\Policies\Explorer: [] Task: {0E7839FE-EE11-47EF-8C4F-D063070EC499} - System32\Tasks\{2FE8B0D1-4608-4F26-A63F-A98671E9D533} => pcalua.exe -a "C:\Program Files (x86)\Steam\steam.exe" -c steam://uninstall/1250 Task: {0F3AE62F-CE3B-401C-8795-F48408F0BCB2} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {2C6EA660-D6E9-4256-9747-59C2C4015781} - System32\Tasks\CTF Host => C:\Users\KO\AppData\Roaming\.minecraft\Ctfhost\ctfhost.exe Task: {4E897B6B-2987-4475-8906-E3436FC3B2BC} - System32\Tasks\DLL-Files.Com Fixer_MONTHLY => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe Task: {AD58BF4F-7881-4EE2-B10E-28BCDF613FF1} - System32\Tasks\0915wtUpdateInfo => C:\ProgramData\Avg_Update_0915wt\0915wt_{FBDD9017-B407-48D7-A009-BB1636219C98}.exe Task: {CE1C38E9-EC40-4587-911F-911153215090} - System32\Tasks\{B3996386-9F10-46F8-8A21-547C99CD2D54} => pcalua.exe -a I:\SISetup.exe -d I:\ Task: {F0FB22AB-0316-466B-B3A2-259321D03A34} - \Program aktualizacji online firmy Adobe. -> No File Task: {F12E955B-5C71-49AD-ADFF-BB48133F2220} - System32\Tasks\DLL-Files.Com Fixer_Updates => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe Task: C:\Windows\Tasks\0915wtUpdateInfo.job => C:\ProgramData\Avg_Update_0915wt\0915wt_{FBDD9017-B407-48D7-A009-BB1636219C98}.exe Task: C:\Windows\Tasks\DLL-Files.Com Fixer_MONTHLY.job => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe Task: C:\Windows\Tasks\DLL-Files.Com Fixer_Updates.job => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe AlternateDataStreams: C:\ProgramData\Microsoft:ecSWXQzQmt0NYxUedBRJg AlternateDataStreams: C:\ProgramData\Microsoft:NaZu2xXXVCcoQdibmem30Mu4 AlternateDataStreams: C:\ProgramData\Microsoft:YEQkrOj5IinKrit2 AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\MWMiniProM RemoveDirectory: C:\ProgramData\NortonInstaller RemoveDirectory: C:\ProgramData\SWdMS RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\ZWdMZ RemoveDirectory: C:\Users\KO\AppData\Local\Lenovo RemoveDirectory: C:\Users\KO\AppData\Local\Mobogenie RemoveDirectory: C:\Users\KO\AppData\Local\Mozilla\Firefox RemoveDirectory: C:\Users\KO\AppData\Local\StormFall RemoveDirectory: C:\Users\KO\AppData\Roaming\dll-files.com RemoveDirectory: C:\Users\KO\AppData\Roaming\GoldenGate RemoveDirectory: C:\Users\KO\AppData\Roaming\Mozilla\Firefox RemoveDirectory: C:\Users\KO\AppData\Roaming\StormFall RemoveDirectory: C:\Users\KO\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\KO\Desktop\SpyHunter 4.16.5.4290 [Eng] patch RemoveDirectory: C:\Users\KO\REACHit RemoveDirectory: C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP RemoveDirectory: C:\Windows\System32\Tasks\Lenovo C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Users\KO\AppData\Local\Word-to-PDF-Converter_1357.rar C:\Users\KO\AppData\Local\wordtopdf_setup.exe C:\Users\KO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\KO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\KO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\KO\Desktop\wordtopdf_setup [1].rar C:\Users\KO\Desktop\wordtopdf_setup [1].exe C:\Users\KO\Downloads\sh-remover.exe C:\Users\KO\Downloads\SpyHunter*.* C:\Windows\System32\Tasks\SpyHunter4Startup C:\Windows\SysWOW64\Z CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} HKU\S-1-5-21-3148115178-2301685078-862424154-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} SearchScopes: HKU\S-1-5-21-3148115178-2301685078-862424154-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446580349&z=16c7d313d9cc5dafe9e5e40g6z3z0q6w7b5e7e3m6o&from=cor&uid=ADATAXSP920SS_8E302000294120002941 Edge HomeButtonPage: HKU\S-1-5-21-3148115178-2301685078-862424154-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 OPR Session Restore: -> [funkcja włączona] Task: {04DF777C-77EF-4C7E-A608-2C019F33BD79} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe Task: {1AD9D468-7A76-4C7A-A054-A38EC281E1BA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {43E6EC14-A2F4-4BA2-AE40-9232788C9BC4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {53C2CB2C-B62C-4AF5-B5A5-B7FECCA29373} - System32\Tasks\UninstallDDS-C960901F-CE14-4DE1-9729-1305F719A337 => C:\WINDOWS\TEMP\DeleteFolderTask.exe [2015-12-14] () Task: {8563FE0A-89C1-4559-AE11-4546B65E89FF} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe Task: {A225C590-680B-4E1D-B453-D549D1E05150} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {BEE73AE1-9228-43CD-B7B9-4A73156E7377} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {EDE475D1-651B-4AAA-B91F-B50D9C69C8E9} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" S3 4F966B02736503C9; C:\WINDOWS\TEMP\160C40E.sys [165104 2015-12-16] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-16] () S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [82072 2015-09-23] (McAfee, Inc.) Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files\DrWeb RemoveDirectory: C:\Program Files\Common Files\Doctor Web RemoveDirectory: C:\Program Files\Common Files\McAfee RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\ProgramData\gWMiniProg RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Users\Marcin\AppData\Roaming\TSv RemoveDirectory: C:\Users\Marcin\Doctor Web RemoveDirectory: C:\Windows\System32\Tasks\Doctor Web RemoveDirectory: C:\Windows\System32\Tasks\McAfee C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Windows\system32\Drivers\dw_wfp.sys.delete-later-189796 C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\drivers\mfeelamk.sys C:\Windows\SysWOW64\data.bin C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź, że problem ustąpił nie tylko w Operze, ale także w Edge.

Tak. Nie wiem w jaki sposób i kiedy zniknął, ale nie na skutek tutejszych działań. Żadna z moich operacji nie dotyczyła tego programu. Program nie był już obecny w formie zainstalowanej w raportach FRST podanych w pierwszym poście - nie ma takiej pozycji w FRST Addition na liście Dodaj/Usuń, a w logu głównym widać tylko te foldery na dysku (i ja ich nie ruszałam): 2015-12-12 17:48 - 2015-12-12 17:48 - 00000000 ____D C:\Documents and Settings\Kasia Rymarska\Moje dokumenty\Lightshot 2015-12-12 17:44 - 2015-12-12 17:44 - 00000000 ____D C:\Program Files\Skillbrains 2015-12-12 17:44 - 2015-12-12 17:44 - 00000000 ____D C:\Documents and Settings\All Users\Menu Start\Programy\Lightshot Skoro zniknięcie było niepożądane, to po prostu go przeinstaluj.

Brakuje raportu Addition.txt.

Fix FRST wykonany. 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Skasuj z folderu "a" na Pulpicie FRST i jego logi. Następnie zastosuj DelFix. I to tyle w zakresie czyszczenia systemu ze śmieci. Problem przegrzewania do działu Hardware.

1. Uruchom AdwCleaner ponownie, wybierz po kolei opcje Skanuj + Usuń i pokaż log z usuwania. 2. W systemie są aż trzy konta: ==================== Konta użytkowników: ============================= Admin (S-1-5-21-3039114009-1155605666-1411358329-1000 - Administrator - Enabled) => C:\Users\Admin grzegorz xd (S-1-5-21-3039114009-1155605666-1411358329-1002 - Administrator - Enabled) => C:\Users\grzegorz xd Jurek (S-1-5-21-3039114009-1155605666-1411358329-1004 - Administrator - Enabled) => C:\Users\Jurek Dotychczas był sprawdzany Admin. Wymagane sprawdzenie dwóch pozostałych. Zaloguj się na każde z nich po kolei poprzez pełny restart Windows, a nie Wyloguj czy Przełącz użytkownika, na każdym zrób po dwa logi FRST: FRST.txt + Addition.txt. Shortcut.txt nie jest mi potrzebny.

1. Pomyliłam się w kolejności komend i odzyskanie omyłkowo skasowanego folderu "GG" stało sę nie możliwe. Uruchom ShadowExplorer, wybierz datę 17-12-2015, wyszukaj ścieżkę C:\Users\User\AppData\Local\GG i skopiuj folder "GG" na Pulpit. Następnie folder ten wstaw w systemowym C:\Users\User\AppData\Local. 2. Uruchom AdwCleaner ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń i dostarcz wynikowy log z usuwania.

Poprawki: 1. Uruchom AdwCleaner ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: BHO: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPluginx64.dll => Brak pliku DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Oskar\Desktop\FRST-OlderVersion CMD: del /q C:\Users\Oskar\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Wydzielone w osobny temat. Od razu uwaga na początek, definitywnie było tu pobieranie z dobrychprogramów via szkodliwy "Asystent pobierania": KLIK. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj McAfee Security Scan Plus (sponsowany zbędnik), Search Provided by Yahoo (adware), Shared C Run-time for x64 (odpadek po odinstalowanym McAfee) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0FF5DD40-139D-4AE9-BA87-9D4066E5BF29} - System32\Tasks\UpdateTask => C:\Users\Tomasz\AppData\Local\{0E9C3~1\UNINST~1.EXE [2015-10-17] () Task: {1D0EAD36-DACF-4778-AC0A-054667D2FB38} - System32\Tasks\Price Fountain => C:\Users\Tomasz\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {6736B4C3-0B5F-4C4B-96A2-7B2964AD4CCB} - System32\Tasks\help4u_updating_service => C:\Program Files (x86)\help4u\help4u_updating_service.exe Task: {6ECF0A52-9E53-4BB8-8827-ACC2A576D50D} - System32\Tasks\AdjudicationsPaleontologistsV2 => Rundll32.exe ArteriogramLarkier.dll,main 7 1 Task: {86099486-47CA-4453-A863-D7BF4D96E7FC} - System32\Tasks\help4u_notification_service => C:\Program Files (x86)\help4u\help4u_notification_service.exe Task: {B7EA7B2D-EB02-4F86-B9B4-9637915E5F05} - System32\Tasks\{678F1855-3E44-42E5-9DB8-A9E1E655E002} => pcalua.exe -a "C:\Program Files (x86)\Sense\Uninstall.exe" -c /fromcontrolpanel=1 Task: {BC91E1D6-3FE1-425C-B724-F5E89A878FBA} - System32\Tasks\{90530114-1D17-4677-96BB-F674539ED408} => pcalua.exe -a "C:\Users\Tomasz\Downloads\eset-smart-security-64bit-8.0.304.2-pl\e_8_64\FIX\FIX\box, mara-fix v1.8\Eset fix\Eset fix.exe" -d "C:\Users\Tomasz\Downloads\eset-smart-security-64bit-8.0.304.2-pl\e_8_64\FIX\FIX\box, mara-fix v1.8\Eset fix" Task: {D1C19B0E-1C35-48CA-8C46-E0BD1A38E005} - System32\Tasks\4UKOOyXwbSuEEhQb => C:\Users\Tomasz\AppData\Roaming\4UKOOyXwbSuEEhQb.exe Task: C:\WINDOWS\Tasks\4UKOOyXwbSuEEhQb.job => C:\Users\Tomasz\AppData\Roaming\4UKOOyXwbSuEEhQb.exe Task: C:\WINDOWS\Tasks\help4u_notification_service.job => C:\Program Files (x86)\help4u\help4u_notification_service.exeǢ/url='hxxp:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='help4u' /appid='73143' /srcid='2913' /bic='896c9c2df74490b8bba4809ba912fe86' /verifier='50d08d275a08c8722741359252159354' /installerversion='1.50.3.10' /statsdomain='hxxp:/stats.buildomserv.com/data.gif?' /errorsdomain='hxxp:/stats.buildomserv.com/data.gif?' /monetizationdomain='hxxp:/logs.buildomserv.com/monetization.gif Task: C:\WINDOWS\Tasks\help4u_updating_service.job => C:\Program Files (x86)\help4u\help4u_updating_service.exe§ /campid=2913 /verid=1 /url=hxxp:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=help4u_updating_service /funurl=hxxp:/stats.buildomserv.com Task: C:\WINDOWS\Tasks\Price Fountain.job => C:\Users\Tomasz\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\UpdateTask.job => C:\Users\Tomasz\AppData\Local\{0E9C3~1\UNINST~1.EXE GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Aggiorna ESET license.lnk [2015-04-08] S3 ewusbnet; \SystemRoot\system32\DRIVERS\ewusbnet.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=AV01 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1681403894-334063220-2750973403-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKU\S-1-5-21-1681403894-334063220-2750973403-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://fr.yhs4.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_ir_15_30&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dfr%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuyB0CtDyDtDyBtAtAtC0DyEzy0B0AyEzztN0D0Tzu0StCtBzyzytN1L2XzutAtFtCtBtFyDtFyCtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2SyEyDyBtB0E0B0FtAtGyC0E0B0BtG0Ezz0DyDtGyC0FyE0DtGzz0AtA0FyBzy0C0C0BtAtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCyCzztC0C0C0EyEtG0D0D0BtDtGyEzztAyEtG0B0DyCyCtGtA0A0BtDtCzy0A0D0C0DtAtA2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzzzzyC%26cr%3D997527101%26a%3Dwncy_ir_15_30%26os%3DWindows%2B8.1 HKU\S-1-5-21-1681403894-334063220-2750973403-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.msn.com/?pc=AV01 SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-1681403894-334063220-2750973403-1001 -> DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://fr.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_ir_15_30&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuyB0CtDyDtDyBtAtAtC0DyEzy0B0AyEzztN0D0Tzu0StCtBzyzytN1L2XzutAtFtCtBtFyDtFyCtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2SyEyDyBtB0E0B0FtAtGyC0E0B0BtG0Ezz0DyDtGyC0FyE0DtGzz0AtA0FyBzy0C0C0BtAtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCyCzztC0C0C0EyEtG0D0D0BtDtGyEzztAyEtG0B0DyCyCtGtA0A0BtDtCzy0A0D0C0DtAtA2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzzzzyC%26cr%3D997527101%26a%3Dwncy_ir_15_30%26os%3DWindows%2B8.1&p={searchTerms} SearchScopes: HKU\S-1-5-21-1681403894-334063220-2750973403-1001 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-1681403894-334063220-2750973403-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://fr.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_ir_15_30&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dfr%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuyB0CtDyDtDyBtAtAtC0DyEzy0B0AyEzztN0D0Tzu0StCtBzyzytN1L2XzutAtFtCtBtFyDtFyCtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2SyEyDyBtB0E0B0FtAtGyC0E0B0BtG0Ezz0DyDtGyC0FyE0DtGzz0AtA0FyBzy0C0C0BtAtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCyCzztC0C0C0EyEtG0D0D0BtDtGyEzztAyEtG0B0DyCyCtGtA0A0BtDtCzy0A0D0C0DtAtA2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzzzzyC%26cr%3D997527101%26a%3Dwncy_ir_15_30%26os%3DWindows%2B8.1&p={searchTerms} SearchScopes: HKU\S-1-5-21-1681403894-334063220-2750973403-1001 -> {E42D9249-EB39-477F-9647-9127E803E00C} URL = Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR HKLM\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1681403894-334063220-2750973403-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AvastUI.exe /f RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\Users\Tomasz\AppData\Local\{0E9C38C0-2A34-5478-47AC-719063C48D08} RemoveDirectory: C:\Users\Tomasz\AppData\Local\AdjudicationsPaleontologists RemoveDirectory: C:\Users\Tomasz\AppData\Roaming\PriceFountain RemoveDirectory: C:\Users\Tomasz\Desktop\Stare dane programu Firefox C:\Users\Tomasz\AppData\Roaming\4UKOOyXwbSuEEhQb C:\Users\Tomasz\AppData\Roaming\Setup62601.exe C:\Users\Tomasz\AppData\Roaming\Uo9Dd04KrkUvCA7TwXESDJC114h C:\Users\Public\Desktop\Aggiorna ESET license.lnk C:\Users\Tomasz\Downloads\*-dp*.exe DisableService: PLAY ONLINE. RunOuc Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i się na niego zaloguj + zaimportuj zakładki, a stary usuń całkowicie. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W Windows jest aktywna tzw. "infekcja bezplikowa" (loader jest zaszyfrowany w rejestrze, nie ma plików na dysku) uruchamiana via PowerShell: HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\...\Run: [{5919B21C-1B82-4F17-85FF-5D62066E73A1}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\JLXVTLPJVAIKPA').YKEFZVOR))); Poza tym, widzę że wiele plików w różnych katalogach użytkownika ma atrybut R ("Tylko do odczytu"). To może być przyczyna innych problemów. Operacje do przeprowadzenia: 1. Odinstaluj starą wersję Java 7 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKCU\Software\Classes\JLXVTLPJVAIKPA HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\...\Run: [{5919B21C-1B82-4F17-85FF-5D62066E73A1}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\JLXVTLPJVAIKPA').YKEFZVOR))); HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\...\Policies\Explorer: [HideSCAHealth] 0 HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => No File ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => No File ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => No File CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1268698185-3662455055-1806142860-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1268698185-3662455055-1806142860-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [No File] StartMenuInternet: FIREFOX.EXE - firefox.exe CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\jurek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] CHR HKLM-x32\...\Chrome\Extension: [dhigneefebkcagnpnpbibganpmfgebnk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\jurek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] S3 XFDriver64; no ImagePath S1 swenwvbx; \??\C:\Windows\system32\drivers\swenwvbx.sys [X] Task: {3AD55E9A-B71D-42D5-976B-72AB3A7AAA16} - \AutoKMS -> No File Task: {E00610B7-74B3-4E88-BD3E-BA8DBCC31BE5} - System32\Tasks\ASUS InstallAll ReInst => C:\Users\jurek\AppData\Local\Temp\\InstallAll\ReInst.exe DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v OfficeSyncProcess /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v svchost /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v uTorrent /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v APSDaemon /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v iTunesHelper /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "LogMeIn Hamachi Ui" /f CMD: netsh advfirewall reset RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\conoTinuetoisAve RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks RemoveDirectory: C:\Users\jurek\AppData\Roaming\Microsoft\Windows\GameExplorer\PlayTasks RemoveDirectory: C:\Users\jurek\AppData\Roaming\Microsoft\Windows\GameExplorer\SupportTasks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War ROME II.lnk C:\Users\jurek\AppData\Local\fvfnogoit.reg C:\Users\jurek\AppData\Roaming\9GPH0NJ1TN.exe C:\Users\jurek\AppData\Roaming\no C:\Users\jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk C:\Users\jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\jurek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk C:\Users\jurek\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk C:\Users\jurek\Desktop\Pulpit\GRIDAutosport — skrót.lnk C:\Users\jurek\Desktop\Pulpit\Skype.lnk C:\Users\jurek\Desktop\Pulpit\µTorrent.lnk C:\Windows\SysWOW64\pl.html CMD: attrib -r C:\Users\jurek\*.* /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przelądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włącz ręcznie ponownie). 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik ten może być ogromny, ze względu na rekursywne ściąganie atrybutu "R" z całej ścieżki "C:\Users\jurek". Jeśli nie wszedłby do załącznika, shostuj gdzieś i podaj link do niego.

Wszystko zrobione, problemy podstawowe rozwiązane. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Nie została w ogóle wykonana operacja w Google Chrome. Firefox został odinstalowany a nie zresetowany, co zostawiło na dysku cały zaśmiecony adware profil. Poprawki: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek po deinstalacji Adobe swMSM > Dalej. 2. Zaległy punkt: 3. Otwórz Notatnik i wklej w nim: Task: {A3AE150F-C798-43A4-993B-747CB21ABF44} - System32\Tasks\{3F66CEB8-3F05-4ACF-8C5D-140205FCEFC9} => pcalua.exe -a "C:\Program Files (x86)\USB Vibration Joystick\Setup\setup.exe" -d "C:\Program Files (x86)\USB Vibration Joystick\Setup" DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 3 RemoveDirectory: C:\Users\Admin\AppData\Local\Mozilla RemoveDirectory: C:\Users\Admin\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Admin\AppData\Roaming\omiga-plus CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 4. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Log z GMER nie pochodzi z tego komputera, Windows 7 SP1 i użytkownik "Kise": Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-2 Crucial_CT128M550SSD1 rev.MU01 119,24GB Running: xtoyi7vc.exe; Driver: C:\Users\Kise\AppData\Local\Temp\aftcaaog.sys Ten komunikat Orange może być wynikiem innego aktywnego zainfekowanego komputera w tej samej sieci w której jesteś Ty. W raportach nie widzę żadnych oznak infekcji Sality, ani innych. A SalityKiller zawsze będzie raportował "Executed scripts: 1", nawet na czystym systemie, bo to jest automatyczny import do rejestru bez sprawdzania czy rzeczywiście takowa modyfikacja ma miejsce. PS. Tylko poboczne akcje do przeprowadzenia: 1. Odinstaluj zbędny McAfee Security Scan Plus. To sponsor produktów Adobe: KLIK. 2. W Google Chrome zresetuj cache wtyczek, by pozbyć się pustych wpisów. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {7AD1B008-CA85-4200-8A74-3059CB2D2F59} - System32\Tasks\{E0DC0DF8-36E7-48CC-866F-32CBB3FCBB12} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.6.0.103/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {F942C242-D309-4D8E-B6A4-02F56EF1DC06} - System32\Tasks\{B221FAC5-B5C2-4414-AE50-680F251D3579} => Chrome.exe hxxp://ui.skype.com/ui/0/7.6.0.105/pl/abandoninstall?page=tsProgressBar U0 qrlpsmcl; C:\Windows\System32\drivers\jproxcgw.sys [79064 2015-12-17] (Malwarebytes) C:\Windows\System32\drivers\jproxcgw.sys S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] SearchScopes: HKU\S-1-5-21-1644087666-2204009049-2821983492-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Active@ KillDisk 9.2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin\Origin Error Reporter.lnk C:\Users\Evenix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Shortcut to ShredIt Documentation.lnk C:\Users\Evenix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Users\Evenix\AppData\Roaming\Microsoft\Word\Katedra304882790885201834\Katedra.docx.lnk C:\Users\Evenix\Desktop\New folder (6)\New folder (8)\*.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są mi już potrzebne.

Wszystko wykonane poprawnie. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko pomyślnie przeprowadzone, problemy rozwiązane, ale jeszcze poprawki: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Logi FRST źle skonfigurowane, nie tak jak podane w instrukcjach na forum - sekcje Lista BCD, MD5 sterowników, Pliki z 90 dni nie miały być zaznaczone. Mnóstwo zbędnych danych. Inne nazwy raportów nie mają żadnego znaczenia i nie one identyfikują raport, tylko jego zawartość. Poproszę o link do tego tematu pokazujący co przetwarzano, bo są wątpliwości co Ci podano, skoro problem w raportach jest oczywisty: Jest tu infekcja routera. Poniższe IP nie są polskie, pomimo że widzę Cię na forum pod polskim IP Orange: KLIK / KLIK. Tu nie pomogą żadne skanery i narzędzia używane spod Windows, problem jest w innym urządzeniu. Tcpip\Parameters: [DhcpNameServer] 31.3.252.70 31.3.252.76 Tcpip\..\Interfaces\{15210E97-0B8D-4637-8A6F-1DAD74EEBA5B}: [DhcpNameServer] 31.3.252.70 31.3.252.76 Ale adware w Windows też jest (usługa WindowsMangerProtect i inne szczątki na dysku). Adware to poboczny problem, nabyłeś je w późniejszym czasie pobierając świństwa z portali. Poniższe pliki to nie są poprawne instalatory tylko "downloadery" portalowe. Więcej na ten temat: KLIK. 2015-12-16 22:31 - 2015-12-16 22:31 - 01034040 _____ (Program ) C:\Users\win7\Downloads\pobierz_Xvid_video_codec_V1.exe 2015-12-16 19:36 - 2015-12-16 19:36 - 01034040 _____ (Program ) C:\Users\win7\Downloads\pobierz_Mirc_V7.exe 2015-12-16 19:30 - 2015-12-16 19:30 - 00962128 _____ (Installer Soft Program ) C:\Users\win7\Downloads\mIRC-21017-dp.exe Operacje do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Deinstalacje: - Odinstaluj zbędny program HP Customer Participation Program 13.0 oraz stary RealPlayer (jego wtyczki w Firefox to naruszenie bezpieczeństwa). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek po deinstalacji Adobe swMSM > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\Tmp0x0x\ProtectWindowsManager.exe [344232 2015-12-16] (Sysinternals process Explorer) S3 dump_wmimmc; \??\C:\Program Files (x86)\GameforgeLive\Games\POL_pol\Metin2\GameGuard\dump_wmimmc.sys [X] HKU\S-1-5-21-3438830426-1715894412-256234205-1000\...\Run: [Xvid] => powershell.exe -nologo -WindowStyle hidden -Noninteractive -NoProfile -ExecutionPolicy Bypass -File "C:\Program Files (x86)\Xvid\CheckUpdate.ps1" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130946813307959530&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130946813307959530&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3438830426-1715894412-256234205-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3438830426-1715894412-256234205-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3438830426-1715894412-256234205-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3438830426-1715894412-256234205-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3438830426-1715894412-256234205-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\win7\AppData\Roaming\Mozilla\Firefox\Profiles\hcpqjwfd.default-1450033318191\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\win7\AppData\Roaming\Mozilla\Firefox\Profiles\hcpqjwfd.default-1450033318191\extensions\yahooprotected@gmail.com => nie znaleziono FF HKU\S-1-5-21-3438830426-1715894412-256234205-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.istartpageing.com/?type=sc&ts=1450291089&z=1fe3b1a4ed785e77852bf4fg6z2wbe6o0tagde9t0o&from=cornl&uid=WDCXWD800JD-00LSA0_WD-WMAM9797309973099 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\DAEMON Tools Lite RemoveDirectory: C:\Program Files (x86)\360 RemoveDirectory: C:\Program Files (x86)\Adobe RemoveDirectory: C:\Program Files (x86)\AVG RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\Tmp0x0x RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{EF07764F-2F63-4751-8287-AC99F6CE0630} RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tomb Raider Legenda RemoveDirectory: C:\Users\win7\AppData\Local\CEF RemoveDirectory: C:\Users\win7\AppData\Local\Dxtory Software RemoveDirectory: C:\Users\win7\AppData\Local\GG RemoveDirectory: C:\Users\win7\AppData\Local\Microsoft\Windows\GameExplorer\{A590712B-BF7E-4DAB-95C9-21091799F9DA} RemoveDirectory: C:\Users\win7\AppData\Local\Microsoft\Windows\GameExplorer\{20E27775-588D-4DEF-B1DB-C9110AC34892} RemoveDirectory: C:\Users\win7\AppData\Local\Unity RemoveDirectory: C:\Users\win7\AppData\LocalLow\Adobe RemoveDirectory: C:\Users\win7\AppData\LocalLow\Macromedia RemoveDirectory: C:\Users\win7\AppData\Roaming\DMCache RemoveDirectory: C:\Users\win7\AppData\Roaming\GG RemoveDirectory: C:\Users\win7\AppData\Roaming\IrfanView RemoveDirectory: C:\Users\win7\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\win7\AppData\Roaming\yoursearching RemoveDirectory: C:\Users\win7\AppData\Roaming\sweet-page RemoveDirectory: C:\Users\win7\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\win7\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\system32\log RemoveDirectory: C:\Windows\SysWOW64\Adobe C:\Program Files\AVAST So C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Co nowego w ostatniej wersji.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Podręcznik RARa dla konsoli.lnk C:\Users\win7\Internet Explorer.lnk C:\Users\win7\IrfanView 64.lnk C:\Users\win7\LibreOffice 3.4.lnk C:\Users\win7\AppData\Local\setup.exe C:\Users\win7\AppData\Roaming\ICSW_1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1ItJ1V0R1P1T1R1M0I2Z.txt C:\Users\win7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\win7\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Co nowego w ostatniej wersji.lnk C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Podręcznik RARa dla konsoli.lnk C:\Users\win7\Downloads\*-dp*.exe C:\Users\win7\Downloads\pobierz_*.exe C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Program Files (x86)\Movies Folder: C:\Program Files (x86)\Screenshots CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\win7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan) skonfigurowane wg wytycznych forum, bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podaj model routera, bo może być konieczna aktualizacja firmware.