picasso

W raportach nie widać żadnych oznak infekcji. Czy te zdarzenia z e-mail nadal się powtarzają? Metoda z "Media Creation Tool" - wybrałeś aktualizację, czy też tzw. "czystą instalację"? Trudno powiedzieć o co chodzi, bo nie ma żadnych danych. Ale jeśli aktualizacja była robiona spod działającego systemu, to podejrzany jest COMODO Internet Security.

Te typ wchodzi tymi metodami: KLIK. Tu musiał być użyty jakiś instalator, bądź "downloader" portalowy ze sponsorami.

Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\a2zLyrics-1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Cinema Plus v6V23.07 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\CinemaPlus-3.2cV28.06 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Quiknowledge DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SmartWeb DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage Task: {3CEF2F7D-C66A-4BEF-8574-AF36D25B245C} - System32\Tasks\{EA7E4F0B-B522-4DB7-80FD-4ECA9947398A} => pcalua.exe -a "C:\Program Files (x86)\a2zLyrics-1\Uninstall.exe" -c /fromcontrolpanel=1 RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\MyFree Codec RemoveDirectory: C:\Users\User\AppData\Local\SmartWeb RemoveDirectory: C:\Users\User\AppData\Local\Xmas Mix RestoreQuarantine: C:\FRST\Quarantine\C\Users\User\AppData\Local\GG CMD: del /q C:\Users\User\AppData\Local\GG\Application\gg.lnk EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Problem stanowi szkodliwe zadanie FlummoxTramplersV2 w Harmonogramie zadań. Operacje do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare niebezpieczne wersje: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader 9.1 - Polish, Adobe Shockwave Player 11.6, Java 7 Update 51, Real Alternative 2.0.2, Windows Media Player Firefox Plugin. - W systemie są aktywne odpadki niepoprawnie odinstalowanego McAfee. Zastosuj z poziomu trybu awaryjnego narzędzie McAfee Consumer Product Removal Tool. Po jego użyciu opuść tryb awaryjny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0FD172EB-E137-40CE-9383-523C90919E8D} - System32\Tasks\{C98D2F09-2131-4F61-991F-D966AAE139B1} => pcalua.exe -a C:\Users\kasia\Desktop\PhotoshopPortable.exe -d C:\Users\kasia\Desktop Task: {10E7A1C5-1C85-45FE-A1EB-1EF7D7CF157C} - System32\Tasks\{8344B6A0-C265-4BE2-AD6E-0B39C8FFCD0E} => pcalua.exe -a "C:\Users\kasia\Desktop\moja sensimila (3)\X16-42937_Q8CP4-9B9X9-DFQJ9-23X89-66BD9.exe" -d "C:\Program Files (x86)\Mozilla Firefox" Task: {215E7AC6-6F70-46EC-AE8E-78DB0FD58D28} - System32\Tasks\{56174926-F908-4CC2-8FFB-30DBD31FA3BA} => pcalua.exe -a C:\Users\kasia\Desktop\eJay_Techno\Techno_eJay2.EXE -d C:\Users\kasia\Desktop\eJay_Techno Task: {3ABFF9D3-AB01-40DB-96BC-09772DCEB0F1} - System32\Tasks\{E2E7984C-9EB9-49F3-8EFB-DC8B0953C2DA} => pcalua.exe -a H:\Install.exe -d H:\ Task: {51996515-5103-44AC-ADF3-CF62DD3C489B} - System32\Tasks\{932D6DCE-BA6A-4B97-8BD8-0794F7A06224} => pcalua.exe -a E:\instaluj.exe -d E:\ -c /VERYSILENT Task: {61F8827E-1CDF-48AF-9357-455B099BB2E1} - System32\Tasks\{95C1CB9D-7BC6-4F62-B0DA-7850D9795D94} => C:\Program Files (x86)\Ares\Ares.exe Task: {90098B19-E468-4000-B1E0-DD68417034FB} - System32\Tasks\{39249E0D-8611-48FB-AE60-2261FFF0FD60} => pcalua.exe -a "C:\Users\kasia\Downloads\Firefox Setup 3.6.3.exe" -d C:\Users\kasia\Downloads Task: {BE044C34-6201-4298-A114-4F98FEE1DE79} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - kasia) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: {C0D2E2BB-D74F-4E43-A565-EA2D4D58D30F} - System32\Tasks\{76FD0DDA-40F1-48BC-87D2-715FBD6EB2DB} => C:\Users\kasia\Desktop\PhotoshopPortable.exe Task: {C991CF5B-CE42-4648-95A5-398F53A91E93} - System32\Tasks\{1BCC2B7D-3EB0-453E-AE06-662C518AEE92} => pcalua.exe -a "C:\Users\kasia\Desktop\pulpit\moja sensimila (3)\ogrodnik-foto-sender.exe" -d "C:\Users\kasia\Desktop\pulpit\moja sensimila (3)" Task: {D1DE56B1-43D5-4F8A-A70F-78159D911EAD} - System32\Tasks\{DBFF7C2C-E046-4BD3-9729-E3F6934BDA63} => pcalua.exe -a "C:\Users\kasia\PHOTOSHOP\Portable Photoshop CS4 v11 [PL]-portable\PhotoshopPortable.exe" -d "C:\Users\kasia\PHOTOSHOP\Portable Photoshop CS4 v11 [PL]-portable" Task: {D757114B-9DA2-4B92-928B-5BE652B99DE9} - System32\Tasks\{56B649B6-74C4-4E71-A003-A84BFA936356} => pcalua.exe -a "C:\Program Files (x86)\Rockstar Games\GTA San Andreas\Spolszczenie GTA San Andreas.exe" -d "C:\Program Files (x86)\Rockstar Games\GTA San Andreas" Task: {D9A3B4CA-D880-4B27-A39E-E21F97E4FBCB} - System32\Tasks\FlummoxTramplersV2 => Rundll32.exe EtcherBangers.dll,main 7 1 Task: {F1A37A86-872B-400E-832E-0363EB8D9E86} - System32\Tasks\{A37F927E-CD62-4943-9016-1687F29FC2E7} => pcalua.exe -a "C:\ZTE usb driver\setup.exe" -d "C:\ZTE usb driver" Task: {F200A740-70F6-417E-A593-6F49D9BBB466} - System32\Tasks\SidebarExecute => C:\Program Files\Windows Sidebar\sidebar.exe S3 hitmanpro37; C:\Windows\system32\drivers\hitmanpro37.sys [41080 2015-12-09] () S3 SliceDisk5; \??\C:\Program Files\A-FF Find and Mount\slicedisk-x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = google.pl HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = google.pl HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = Toolbar: HKU\S-1-5-21-1385906984-4180755174-2517437104-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sony Ericsson PC Companion DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ComboFix RemoveDirectory: C:\found.000 RemoveDirectory: C:\Qoobox RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Frets on Fire RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HipHop eJay 2 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pontifex II Demo RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sony Ericsson RemoveDirectory: C:\Users\kasia\AppData\Local\FlummoxTramplers RemoveDirectory: C:\Users\kasia\AppData\Local\Mozilla RemoveDirectory: C:\Users\kasia\AppData\Roaming\AVG\AWL2012 RemoveDirectory: C:\Users\kasia\AppData\Roaming\DarkEra RemoveDirectory: C:\Users\kasia\AppData\Roaming\Elex-tech RemoveDirectory: C:\Users\kasia\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tahni DeskMate\ RemoveDirectory: C:\Windows\0028CB34D5D3460FB308A39A095A5E01.TMP RemoveDirectory: C:\Windows\system32\log C:\Users\Administrator\Links\Downloads.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\I-Doser v3\Dose Files Folder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TOSHIBA\Rejestracja gwarancji firmy Toshiba.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Powerbullet\Repair Powerbullet Presenter installation.lnk C:\Users\kasia\*.exe C:\Users\kasia\AppData\Local\{F89C7AA6-BF38-48A6-845F-7689CC769570} C:\Users\kasia\AppData\Roaming\ARCompanion.log C:\Users\kasia\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkEra.lnk C:\Users\kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Toxic Biohazard\Toxic Biohazard Online.lnk C:\Users\kasia\GIMP 2.lnk C:\Users\kasia\Nokia PC Suite.lnk C:\Users\kasia\papieros 2.gif.lnk C:\Users\kasia\Rejestracja gwarancji firmy Toshiba.lnk C:\Users\kasia\Desktop\pulpit\muza\Perfekt_-_Ko_ysanka_Dla_Nieznajomej.mp3.lnk C:\Users\kasia\Desktop\pulpit\jakies cos muzyka\kasia foto.lnk C:\Users\kasia\Desktop\pulpit\jakies cos muzyka\Skrót do ___ARESTRA___kasia kowalska - dokąd mam biec(2).lnk C:\Users\kasia\Desktop\pulpit\jakies cos muzyka\fuzk off!\outkast - speakerboxx the love below - hey ya - Kopia.lnk C:\Users\kasia\Desktop\pulpit\jakies cos muzyka\fuzk off!\outkast - speakerboxx the love below - hey ya.lnk C:\Users\kasia\Desktop\pulpit\jakies cos muzyka\fuzk off!\Rank_1_-_Breathing.lnk C:\Users\kasia\muza - Kopia\02_Jah_jest_Prezydentem_mp3.lnk C:\Users\kasia\muza - Kopia\Koncepcja_IZI_-_Prosto_Z_Mostu_Diss_WTR_Squad_REMASTERED.lnk C:\Users\kasia\muza - Kopia\outkast - speakerboxx the love below - hey ya - Kopia.lnk C:\Users\kasia\muza - Kopia\outkast - speakerboxx the love below - hey ya.lnk C:\Users\kasia\muza - Kopia\Perfekt_-_Ko_ysanka_Dla_Nieznajomej.lnk C:\Users\kasia\muza - Kopia\Rank_1_-_Breathing.lnk C:\Users\kasia\muza - Kopia\Skrót do ___ARESTRA___kasia kowalska - dokąd mam biec(2).lnk C:\Windows\system32\Drivers\hitmanpro37.sys CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponowie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Odinstaluj adware WinZipper. 2. W systemie są aktywne komponenty niepoprawnie odinstalowanego skanera StopZilla, które filtrują karty sieciowe. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > z prawokliku na każde obecne połączenie pobierz Właściwości > wyszukaj element podobny do poniższego (możliwe nazwy to Sunbelt / GFI / ThreatTrack NDIS IM Filter), podświetl, odinstaluj i zresetuj system. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Jacek\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\MWdMM\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 gfiark; C:\Windows\System32\drivers\gfiark.sys [43368 2013-05-23] (ThreatTrack Security) S3 gfiutil; C:\Windows\System32\drivers\gfiutil.sys [24040 2013-09-04] (ThreatTrack Security) R2 sbapifs; C:\Windows\System32\DRIVERS\sbapifs.sys [70888 2013-10-01] (ThreatTrack Security, Inc.) S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X] S1 SBRE; \SystemRoot\system32\drivers\SBREDrv.sys [X] ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350 ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&ts=1379754226 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&ts=1379754226 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3686410479-3997652338-1969191703-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&ts=1379754226 HKU\S-1-5-21-3686410479-3997652338-1969191703-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&ts=1379754226 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1431082016&z=9348754c8f5a231f5bcda6ag8z9cegde6b9ocefgdw&from=wpm05083&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1431082016&z=9348754c8f5a231f5bcda6ag8z9cegde6b9ocefgdw&from=wpm05083&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&q={searchTerms} SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1425449658&from=zbd1&uid=wdcxwd3200bevt-22zct0_wd-wxj0a69m2350m2350&q={searchTerms} SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&q={searchTerms} SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&q={searchTerms} SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350" CHR HKLM\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - \User Data\Default\Extensions\newtab.crx Task: {D7DEC4DF-F2E8-4BF1-A7CB-AD4459C12F57} - System32\Tasks\{E5BD5A8D-0A77-4591-B0D1-45E28A57CE26} => pcalua.exe -a "C:\Program Files\STOPzilla\SBSetupDrivers.exe" -d "C:\Program Files\STOPzilla" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SBAMSvc => ""="Service" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\yoursites123Software RemoveDirectory: C:\Program Files\SFK RemoveDirectory: C:\Program Files\WinZipper RemoveDirectory: C:\ProgramData\MWdMM RemoveDirectory: C:\ProgramData\nWdMn RemoveDirectory: C:\ProgramData\Mozilla RemoveDirectory: C:\ProgramData\WindowsMangerProtect RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STOPzilla RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\Users\Jacek\AppData\Local\Mozilla RemoveDirectory: C:\Users\Jacek\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Jacek\AppData\Roaming\TSv RemoveDirectory: C:\Users\Jacek\AppData\Roaming\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Windows\system32\pl.html C:\Windows\System32\drivers\gfiark.sys C:\Windows\System32\drivers\gfiutil.sys C:\Windows\System32\drivers\sbapifs.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Post wydzielony. Podane raporty FRST to nie są oryginalne pliki w kodowaniu UTF-8, tylko zapisane ponownie do nowych plików w kodowaniu ANSI, całe formatowanie zepsute. Proszę zrobić porządne logi FRST od nowa: KLIK. Trzy pliki są obowiązkowe, w tym Shortcut.

bolimnienoga Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Post wydzielony tu: KLIK. I proszę zrobić nowe logi FRST, bo dostarczone są niepoprawne. maciek98123 Na koncie fifa jest zainfekowany odpadkowy profil Google Chrome zawierający adware Sale Charger. Poprawki: 1. Mam nadzieję, że Google Chrome nie zostało jeszcze ponownie zainstalowane. Ponownie uruchom Zoek i w oknie wklej: Google Update Helper;u Klik w Run Script. Powstanie plik zoek-results.log (ręcznie zmień mu nazwę z *.log na *.txt). Przedstaw go. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\fifa\AppData\Local\Google RemoveDirectory: C:\Users\Marcin\AppData\Local\Google EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

1. Spodziewane zachowanie. Resetowałam reguły Zapory systemu w skrypcie (komenda netsh firewall reset), stąd nowe pytania o autoryzacje. Potwierdzić dostęp w/w programów. 2. Potem zainstalujesz najnowszą wersję stąd: KLIK. I potem trzeba będzie przeinstalować Adobe Flash NPAPI dla Firefox, bo coś się z nim stało w międzyczasie. Ale spokojnie, to na końcu. Wszystko zrobione. Lecimy dalej z poprawkami: 1. Odpadki RealPlayer: - W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj RealPlayer HTML5Video Downloader Extension. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis RealUpgrade 1.1 > Dalej. 2. Otwórz Notatnik i wklej w nim: S3 AdobeFlashPlayerUpdateSvc; C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe [X] Startup: C:\Documents and Settings\Anusia\Menu Start\Programy\Autostart\OpenOffice.ux.pl 2.3.1.lnk [2009-02-03] Task: C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-2052111302-790525478-725345543-1004.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-2052111302-790525478-725345543-1006.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-2052111302-790525478-725345543-1004.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-2052111302-790525478-725345543-1006.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe CustomCLSID: HKU\S-1-5-21-2052111302-790525478-725345543-1004_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Dropbox\bin\Dropbox.exe /autoplay => Brak pl (dane wartości zawierają 3 znaków więcej). DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DisableService: DigitalWave.Update.Service FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32_20_0_0_235.dll [brak pliku] C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\OpenOffice.ux.pl2 C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Real C:\Program Files\OpenOffice.ux.pl 2.3.1 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Brakuje nowego głównego skanu FRST.txt. Uzupełnij.

DelFix zrobił co należy. Teraz już możesz ten plik skasować. To tyle z mojej strony.

Masz wykonać to: Jest tu natywnie niemiecki system, nie jestem pewna czy masz zainstalowane polskie MUI, więc gdyby wklepanie polskiej frazy na ekranie nie zwracało wyników, to można też dostać się w ten sposób (nanieś poprawki na niemieckie nazwy opcji): Z klawiatury klawisz z flagą Windows + X > z menu wybierz opcję Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > patrz wyżej na obrazki. Plik można usunąć, ale go nie pokazałeś...

Ale ten tekst mi sugeruje że Ty chcesz czyścić foldery ... ręcznie? Foldery są zawsze zablokowane ("Odmowa dostępu") i tak ma być. Tam jest wyraźnie napisane, że czyszczenia ręcznego bezpośrednio w folderach się absolutnie nie robi. Czyszczenie jest tylko via opcje Windows. Avast jest OK, nie widzę powodów do zmiany.

Nie tym razem, poprzednio UTF-8 było potrzebne tylko po to, by przetworzyć ten plik z "chińską" nazwą. Ale Fix wykonany. Na koniec: Usuń FRST i jego logi z folderu C:\Users\Czarek\Desktop\Skan. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Infekcja na pewno nie jest przyczyną. Przegrzewanie = wątek do działu Hardware. Na dysku były dwa (zakreślone kolorem to obiekty adware), usuń ręcznie ten folder który ciągle na dysku widzisz: Możesz jeszcze odinstalować zbędny HP Deskjet 3050A J611 series Product Improvement Study. I ten drobny skrypt czyszczący szczątkowe wpisy + puste skróty, w tym komponenty najwyraźniej odinstalowanego już Magic Desktop od EasyBits. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {A451C592-DFB4-4B75-8F86-4C543ECD0CBD} - \DGChrome13713 Watcher -> Brak pliku Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku R2 ezSharedSvc; C:\Windows\SysWOW64\ezSharedSvcHost.exe [514232 2010-04-23] (EasyBits Software AS) [brak podpisu cyfrowego] HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-1887808651-3785465729-460270364-1001\...\Policies\system: [DisableLockWorkstation] 1 HKU\S-1-5-21-1887808651-3785465729-460270364-1001\...\Policies\system: [DisableChangePassword] 1 HKU\S-1-5-21-1887808651-3785465729-460270364-1001\...\Policies\Explorer: [NoLogoff] 1 HKU\S-1-5-21-1887808651-3785465729-460270364-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\ezScrSvr.scr SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1887808651-3785465729-460270364-1001 -> {e4a1ece8-ed94-4f93-80ea-75f978ceaf24} URL = BHO: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPluginx64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1887808651-3785465729-460270364-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\ewa marcin\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku FirewallRules: [{6CB63768-49C8-46C1-96F2-2C545F728412}] => (Allow) C:\Windows\system32\ezSharedSvcHost.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\ProgramData\Malwarebytes C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Help and Support\HP Connection Manager.lnk C:\Users\ewa marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton\Norton Installation Files.lnk C:\Users\ewa marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox C:\Users\ewa marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Norton Internet Security.lnk C:\Users\ewa marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Norton Internet Security.lnk C:\Windows\SysWOW64\ezSharedSvcHost.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt.

Mini poprawka. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2451408768-821268778-953564908-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Czarek\AppData\Local\Akamai\netsession_win.exe" DeleteKey: HKCU\Software\DownloadProtect DeleteKey: HKLM\SOFTWARE\Classes\Interface\{F2DB3739-77FB-41EB-9ED3-ABF34DF2DBF7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Clara DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{F2DB3739-77FB-41EB-9ED3-ABF34DF2DBF7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{E7BF74EE-9106-4113-B216-2F980BA29141} DeleteKey: HKU\S-1-5-21-2451408768-821268778-953564908-1001\Software\DownloadProtect RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Windows\Installer\{D66F33C3-C1F7-4266-91C7-33F95D7A8E1B} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Operacje do przeprowadzenia: 1. Deinstalacje: - Przez Dodaj/Usuń programy odinstaluj stare wersje: Acrobat.com, Adobe AIR, Certified Toolbar 2.5 (adware), ImageShack Uploader 2.2.0 (już nie działa), Java 7 Update 71, RealPlayer, OpenOffice.ux.pl 2.3.1, Photo Notifier and Animation Creator, PhotoMail Maker (oba od wątpliwego producenta IncrediMail Ltd.), Shockwave. Najnowszy OpenOffice zainstalujesz potem. - Są tu ślady po niepoprawnie odinstalowanym HotspotShield. Upewnij się, że nie są filtrowane karty sieciowe, czyli: Panel sterowania > Połączenia sieciowe > z prawokliku na każde z tam obecnych pobierz Właściwości > w karcie Ogólne sprawdź jakich komponentów używa połączenie. Jeśli znajdziesz pozycję HotSpot Shield, odinstaluj i zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\nWdMn\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] R3 HssDrv; C:\WINDOWS\System32\DRIVERS\HssDrv.sys [40648 2013-02-12] (AnchorFree Inc.) S3 taphss; C:\WINDOWS\System32\DRIVERS\taphss.sys [33512 2013-02-12] (AnchorFree Inc) ShortcutWithArgument: C:\Documents and Settings\Kasia Rymarska\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\Kasia Rymarska\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159&q={searchTerms} HKU\S-1-5-21-2052111302-790525478-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 HKU\S-1-5-21-2052111302-790525478-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2052111302-790525478-725345543-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159&q={searchTerms} SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKU\S-1-5-21-2052111302-790525478-725345543-1004 -> {2381E4B7-5C04-459E-9D46-2F9AC1608B66} URL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=ysp SearchScopes: HKU\S-1-5-21-2052111302-790525478-725345543-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159&q={searchTerms} BHO: Brak nazwy -> {010e44c0-8bda-476c-9cee-e7a8c632e840} -> Brak pliku BHO: Wondershare Video Converter Ultimate 7.1.0 -> {451C804F-C205-4F03-B48E-537EC94937BF} -> C:\DOCUME~1\ALLUSE~1\DANEAP~1\WONDER~1\VIDEOC~1\WSBROW~1.DLL => Brak pliku Toolbar: HKU\S-1-5-21-2052111302-790525478-725345543-1004 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku CustomCLSID: HKU\S-1-5-21-2052111302-790525478-725345543-1004_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2052111302-790525478-725345543-1004_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Documents and Settings\Kasia Rymarska\Pulpit\2012 Christmas Performance - Silhouette (Strange).mp (dane wartości zawierają 19 znaków więcej). FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF Plugin HKU\S-1-5-21-2052111302-790525478-725345543-1004: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}] - C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Mozilla\Firefox\Profiles\q9981sq3.default-1431123977156\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Mozilla\Firefox\Profiles\q9981sq3.default-1431123977156\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Mozilla\Firefox\Profiles\q9981sq3.default-1431123977156\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Mozilla\Firefox\Profiles\q9981sq3.default-1431123977156\extensions\yahooprotected@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx [2012-05-22] CHR HKLM\...\Chrome\Extension: [jinhmcmpnjkjciebbipoojdnnbmjilog] - C:\Program Files\CertifiedToolbar\chrome\CertifiedToolbar.crx StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 HKLM\...\Run: [bigDog305] => C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305) HKLM\...\Run: [TrayServer] => C:\Program Files\MAGIX\Movie_Edit_Pro_14_PLUS_Download_version\TrayServer.exe HKLM\...\Run: [Freecorder FLV Service] => "C:\Program Files\Freecorder\FLVSrvc.exe" /run HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2020704 2014-08-05] (Wondershare) HKLM\...\Run: [DelaypluginInstall] => C:\Documents and Settings\All Users\Dane aplikacji\Wondershare\Video Converter Ultimate\DelayPluginI.exe [1960336 2014-09-26] () HKU\S-1-5-21-2052111302-790525478-725345543-1004\...\Run: [Picasa Media Detector] => C:\Program Files\Picasa2\PicasaMediaDetector.exe HKU\S-1-5-21-2052111302-790525478-725345543-1004\...\Run: [swg] => "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" HKU\S-1-5-21-2052111302-790525478-725345543-1004\...\Run: [incrediMail] => C:\Program Files\IncrediMail\bin\IncMail.exe /c HKU\S-1-5-21-2052111302-790525478-725345543-1004\...\Run: [sPMTray] => C:\Program Files\PC Speed Maximizer\SPMTray.exe HKU\S-1-5-21-2052111302-790525478-725345543-1004\...\Run: [softonicAssistant] => "C:\Documents and Settings\Kasia Rymarska\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant\SoftonicAssistant.exe" S4 IntelIde; Brak ImagePath S3 PCANDIS5; \??\C:\WINDOWS\system32\PCANDIS5.SYS [X] S3 vvftav; system32\drivers\vvftav.sys [X] S3 ZDCndis5; \??\C:\WINDOWS\system32\ZDCndis5.SYS [X] S3 ZSMC0305; System32\Drivers\usbVM305.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\JWdMJ RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\nWdMn RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\TEMP RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Wondershare RemoveDirectory: C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\TSv RemoveDirectory: C:\Documents and Settings\Kasia Rymarska\Menu Start\Programy\CdCoverCreator RemoveDirectory: C:\Documents and Settings\Kasia Rymarska\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Program Files\Mozilla Firefox\extensions RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\Program Files\SFK RemoveDirectory: C:\Program Files\Common Files\Wondershare RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Menu Start\Programy\QuickTime\QuickTime Player (3).lnk C:\Documents and Settings\All Users\Menu Start\Programy\QuickTime\QuickTime Player.lnk C:\Documents and Settings\Anusia\Menu Start\IncrediMail.lnk C:\Documents and Settings\Anusia\Pulpit\Świadectwa Optivum.lnk C:\Documents and Settings\Anusia\Pulpit\salatki\Adobe Reader 9.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Acrobat_com.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Adobe Reader 9.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Animations for Messenger.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Free Games & Music.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\IncrediMail.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Konfiguracja.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\McAfee Security Scan Plus.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Speed up your computer!.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Wallpapers by IncrediMail.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Yahoo! Messenger.lnk C:\Documents and Settings\Kasia Rymarska\Moje dokumenty\Kościół\Służby\Służba Techniczna\Okładka na płytę\CdCoverCreator.lnk C:\Documents and Settings\Kasia Rymarska\Moje dokumenty\Dropbox (Stary)\rozne\notatka bartka.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Adobe Reader 8.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Adobe Reader 9.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\avast! Antivirus.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Free Games & Music.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Google Desktop.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\IncrediMail.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Konfiguracja.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Mozilla Firefox.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Nvu.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Picasa2.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\RealPlayer.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Skype.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Speed up your computer!.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\USB PC Camera VC305.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Wallpapers by IncrediMail.lnk C:\Documents and Settings\Kasia Rymarska\Ustawienia lokalne\Dane aplikacji\updater.log C:\Documents and Settings\Kasia Rymarska\Ustawienia lokalne\Dane aplikacji\UserProducts.xml C:\WINDOWS\System32\DRIVERS\HssDrv.sys C:\WINDOWS\System32\DRIVERS\taphss.sys CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. To tyle.

Wyciągi ze starego "usera" oraz nowego konta nie są już potrzebne skoro akcja już wykonana. Na koniec jeszcze te operacje: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj E:\Programy\FRST. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

3xTak. Wszystkie operacje z poziomu Arka (konto o uprawnieniach administracyjnych).

DelFix wykonał zadanie. Skasuj plik C:\delfix.txt. Nie. Czyszczenie Tempów było w skrypcie FRST (komenda EmptyTemp:), czyszczenie folderów Przywracania się nie aplikuje (wyraźnie mówiłam powyżej, że jest wyłączone). Możesz za to zaktualizować Adobe Reader do wersji DC (o ile Ci odpowiada) oraz Firefoxa. Nie za bardzo rozumiem ten wątek, o jakim "wyłączaniu" tu mowa, gdzie konkretnie / w jaki sposób? A ten problem z msconfig to nie ma związku z tym wszystkim.

Ostatnia poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BA32987D-DB80-4CCB-A8BB-F812B5421C0F} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{EAF8EEB4-71A2-41DA-B91C-6E2904B188CA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursearchingSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EAF8EEB4-71A2-41DA-B91C-6E2904B188CA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{23D34738-E43F-455B-B9FE-56968533500D} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Tomasz\Desktop\Stare dane programu Firefox CMD: del /q C:\Windows\SysWOW64\pl.html Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Usuń D:\Download\frst. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

No ja myślałam, że usunięcie kont nie jest po prostu możliwe, że są potrzebne. Skoro tu jest droga wolna, to rzecz jasna usunięcie kont (z potwierdzeniem usuwania danych z dysku) to najszybsze rozwiązanie. Gdy to już przeprowadzisz, końcowe kroki: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Materiał edukacyjny, by ograniczyć podobne problemy: KLIK.

Wszystko zrobione. 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Spróbuj ponowić instalację wybranego antywirusa.