picasso

1. Fix FRST pomyślnie odblokował te klucze alternatywnych kont. Teraz zresetuj komputer, zaloguj się na Paulinę i sprawdź czy problem z folderami ustąpił. Podobnie na koncie Zbigniew. 2. Edycja wygląda na poprawną. W związku z tym zrób mi nowy komplet logów z Arka (FRST.txt + Addition.txt).

Czyli mam rozumieć, że w Dodaj/Usuń programy "AVG Web TuneUp" zwraca jakiś błąd podczas instalacji? Tu była bardzo stara wersja z lukami. Na temat Adobe Reader jest w temacie dedykowanym aktualizacjom: KLIK. Ewentualna instalacja nowszego Adobe Reader dopiero po wykonaniu poniższego skryptu w punkcie 2 (usuwa szczątkowe katalogi Adobe). Nie odpowiedziałeś na pytanie czy jest poprawa w działaniu systemu. A usterka Usług kryptograficznych pomyślnie naprawiona. Kolejne akcje: 1. W raporcie widzę jeszcze kontrolkę rozszerzonej wersji Microsoft Update. Ten komponent może obciążać usługę Automatycznych aktualizacji, co skutkuje spowolnieniem. Tutaj instrukcje jako przełączyć na zwykłe Windows Update: KLIK. 2. Kosmetyczne poprawki pod kątem wpisów odpadkowych. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 McShield; C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe [X] S3 McSysmon; C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe [X] HKLM\...\Run: [LaunchApp] => Alaunch HKU\S-1-5-21-16367085-3515729489-2401863920-1006\...\Run: [AvgUpdater0715tb] => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0715tb\0715tb_AVG-Secure-Search-Update_0715tb.exe /SETINFO /CMPID=0715tb /INFORETRY=-61 HKU\S-1-5-21-16367085-3515729489-2401863920-1006\...\MountPoints2: {6f7ea4aa-fea6-11e3-9319-00242b048028} - D:\Startme.exe HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-16367085-3515729489-2401863920-1006\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie Toolbar: HKLM - Brak nazwy - {0BF43445-2F28-4351-9252-17FE6E806AA0} - Brak pliku Toolbar: HKU\S-1-5-21-16367085-3515729489-2401863920-1006 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\All Users\Dane aplikacji\Adobe C:\Documents and Settings\All Users\Dane aplikacji\AVG2014 C:\Documents and Settings\Mariush\Dane aplikacji\Adobe C:\Documents and Settings\Mariush\Dane aplikacji\Mozilla C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\Adobe C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Program Files\GUM6F.tmp C:\Program Files\Adobe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi już potrzebne.

Zadania pomyślnie wykonane. Zastosuj DelFix. To wszystko. PS. I miej na uwadze, że aktualizacja Windows 7 > Windows 10 wyłączyła Przywracanie systemu.

Podaj mi jeszcze spis kopii plików. Uruchom FRST, w polu Szukaj wklej: aelupsvc.dll.mui;autoexec.bat;config.sys Klik w Szukaj plików i dostarcz wynikowy log.

Omiń wyniki typu Suspicious files oraz te: C:\Ross-Tech\VCDS-Lite\loader.exe Size . . . . . . . : 199 168 bytes Age . . . . . . . : 49.8 days (2015-10-26 21:26:53) Entropy . . . . . : 8.0 SHA-256 . . . . . : CAD4950C9C0B7473B001C6DCC2401E2B36911BC7B2C4A043BC83158BFAFA9B9D > HitmanPro . . . . : Malware Fuzzy . . . . . . : 106.0 References C:\Users\Dj Tedex Studio\Desktop\VCDS-Lite.lnk C:\Users\Dj Tedex Studio\AppData\Local\NVIDIA\NvBackend\StreamingAssets\sniper_elite_3\automated_launch.exe Size . . . . . . . : 46 592 bytes Age . . . . . . . : 273.0 days (2015-03-17 15:18:26) Entropy . . . . . : 5.2 SHA-256 . . . . . : C2436FAE74C8700B906D77C9C8E55F5A11FE49563C2D95B363E6B17500B5BEDB Product . . . . . : OL LanguageID . . . . : 0 > Bitdefender . . . : Trojan.GenericKD.2079543 Fuzzy . . . . . . : 106.0 C:\Users\Dj Tedex Studio\Desktop\Programy\LOIC.exe Size . . . . . . . : 134 144 bytes Age . . . . . . . : 538.8 days (2014-06-24 20:05:43) Entropy . . . . . : 7.5 SHA-256 . . . . . : 1D5FC634F976DC3C3F339E46365AF78940CB1F49CAA46E76E70F7C6CE8DAD089 Product . . . . . : Low Orbit Ion Cannon LanguageID . . . . : 0 > HitmanPro . . . . : Malware Fuzzy . . . . . . : 114.0 C:\Users\Dj Tedex Studio\Documents\My Games\FarmingSimulator2015\SaveGameEditor.exe Size . . . . . . . : 105 984 bytes Age . . . . . . . : 337.8 days (2015-01-11 19:32:20) Entropy . . . . . : 7.7 SHA-256 . . . . . : 893C1B0A6F1FA5E02EA6C008218F743844F9D3769DD5F17EB9092A0D11A3FD60 Product . . . . . : SaveGameEditor LanguageID . . . . : 0 > Bitdefender . . . : Gen:Variant.Kazy.534233 Fuzzy . . . . . . : 114.0 Cała reszta za to do usunięcia.

No cóż, ten komunikat oznacza stan początkowy właśnie, czyli konto o charakterze tymczasowym uruchamiane z C:\Users\TEMP (pomimo że komunikat mówi o C:\Windows\system32\config\systemprofile). Konto nie zostało przekierowane poprawnie w Reprofiler, z jednej z następujących przyczyn: - Albo coś źle wykonałeś z tymi sekwencjami Detach + Assign. - Albo zadanie zostało poprawnie wykonane, lecz coś jest nie tak z folderem C:\Users\user i system je ponownie odrzucił. Folder może być w taki sposób uszkodzony, że nie jest możliwe jego używanie. Proponuję już się z tym nie męczyć i po prostu założyć nowe konto wg następujących wytycznych: 1. Z poziomu sprawnego konta Ja przekopiuj co jest ważnego z folderu C:\Users\user. Ścieżki pod uwagę (ale samodzielnie przewertuj cały katalog "user"): ----> Zawartość Pulpitu, Dokumenty, Ulubione IE: C:\Users\user\Desktop C:\Users\user\Documents C:\Users\user\Favorites ----> Ustawienia programów: C:\Users\user\AppData\Local C:\Users\user\AppData\LocalLow C:\Users\user\AppData\Roaming Nie kopiuj przypadkiem tych folderów "Local" + "Roaming" w całości, tam mogą być śmieci adware i uszkodzenia. Kopiuj tylko i wyłącznie te dane, które są rzeczywiście "niezbędne". 2. Następnie w Panelu sterowania usuń to konto, zaznaczając także usuwanie danych użytkownika. Załóż nowe konto, zaloguj się na nie, wklej tam przekopiowane w punkcie 1 dane do korespondujących katalogów. Potwierdź wykonanie zadania.

Problemem jest infekcja DNS. Podawałam kilka razy gdzie konfigurować, z jakiejś przyczyny Twoje operacje były nie do końca udane. W ostatnim podejściu starałam się usunąć z rejestru wartości, by odpalić "aktualizację" danych + ponowne czyszczenie bufora DNS, ale widzę że to nie działa. Pokaż mi obrazki z tej akcji, co i gdzie konfigurujesz. Nie, dopóki nie rozwiążemy w/w przekierowań adware oraz nie wdrożymy korekty kont. Jeśli chodzi o konta, to zdaje się być problem właśnie w owych kluczach z "Odmową dostępu", mają wymazane całkowicie uprawnienia z nieznanej przyczyny (żaden z Fixów FRST tam nie grzebał). Podejście z resetem uprawnień: Tak jak poprzednio, ma być następujący układ: zaloguj Paulinę > opcja Przełącz użytkownika > zaloguj Zbigniewa > opcja Przełącz użytkownika > zaloguj Arka i na Arku wykonaj fixlist.txt o zawartości: Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Dostarcz wynikowy fixlog.txt.

1. Uruchom AdwCleaner ponownie, wybierz opcje Skanuj i Usuń. Gdy ukończy czyszczenie, przez SHIFT+DEL (omija Kosz) skasuj cały folder C:\AdwCleaner. 2. Uruchom MBAM i sprawdź czy nic się już nie pokazuje.

Uruchom AdwCleaner ponownie, wybierz po kolei opcje Skanuj i Usuń, dostarcz wynikowy log z czyszczenia.

Poprawki: 1. Brak oznak wykonania tej czynności, do wdrożenia: 2. Następnie uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Poprawki: 1. Nie ma żadnych oznak wykonania tej czynności, do wdrożenia: 2. Następnie uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix FRST w ogóle się nie wykonał... Zatrzymał się na pierwszej komendzie zabijania procesów i tylko tyle. Powtórz operację rozpisaną wcześniej w punkcie 1 ale z poziomu Trybu awaryjnego Windows. Po akcji dostarcz nowe logi jak wyliczone w punkcie 3.

Na dysku są ślady pobierania via "Asystent pobierania" dobrychprogramów. Więcej na ten temat: KLIK. Poza tym, instalowałeś skaner-naciągacz SpyHunter. Operacje do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: DarkEra (fałszywka adware udająca grę o podobnej nazwie), WebStorage (zbędny program ASUSa), WinZipper (adware). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis AVG PC TuneUp 2015 (pl-PL) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Grzegorz\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-15] () ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} HKU\S-1-5-21-1613788600-3209457753-647740577-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1613788600-3209457753-647740577-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1613788600-3209457753-647740577-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1448997730&z=9d5d9ad21295c904a8e9ebfgdz1zfb1tct3m3m7o3m&from=cor&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX HKLM-x32\...\Run: [] => [X] Task: {23F235CF-D548-48FB-8966-75755092B63F} - System32\Tasks\{06196729-D823-4903-B01A-83F5642DBE08} => pcalua.exe -a "D:\GRY\World of Warcraft\World of Warcraft Launcher.exe" -d "D:\GRY\World of Warcraft" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\7WdM7 RemoveDirectory: C:\ProgramData\7WMiniPro7 RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\Users\Grzegorz\AppData\Local\Avg RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\AVG RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\DarkEra RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\TSv RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Grzegorz\Downloads\*-dp*.exe C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DarkEra.lnk C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkEra.lnk C:\Users\Grzegorz\Downloads\SpyHunter-Installer.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Log FRST błędie skonfigurowany, nie tak jak polecone w instrukcjach: sekcje Lista BCD, MD5 sterowników, Pliki z 90 dni nie miały być zaznaczone. Działania do przeprowadzenia: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Oskar\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [0 2015-12-14] () R2 WdMan; C:\ProgramData\SWdMS\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S1 itdrvr_vw_1_10_0_25; system32\drivers\itdrvr_vw_1_10_0_25.sys [X] ShortcutWithArgument: C:\Users\Oskar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX ShortcutWithArgument: C:\Users\Oskar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX ShortcutWithArgument: C:\Users\Oskar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} HKU\S-1-5-21-439399660-922659106-66113066-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX HKU\S-1-5-21-439399660-922659106-66113066-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX HKU\S-1-5-21-439399660-922659106-66113066-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} HKU\S-1-5-21-439399660-922659106-66113066-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447348036&z=f42bbaf1fafcb927b13c5b5g0zcz4m5c6z0b0e8oeq&from=wpm07163&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} SearchScopes: HKLM-x32 -> {8D9F0CE9-EF07-4174-91FA-0A7CF61163B4} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-439399660-922659106-66113066-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX&q={searchTerms} BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445788531&z=30ca44e5e3469aac42eb988g0zdz3w4m1b0b2o2m0t&from=cor&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX" StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450121640&z=96d648de53c9bd33790665dgezbwee8gdodg4q4c2e&from=wpm07173&uid=HGSTXHTS541010A7E630_S0A001SSGPGKYKGPGKYKX Task: {CA07F2EE-51E7-46BD-B955-538C2E399165} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\360 RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\HWdsManProH RemoveDirectory: C:\ProgramData\ZWMiniProZ RemoveDirectory: C:\ProgramData\SWdMS RemoveDirectory: C:\ProgramData\SWMiniProS RemoveDirectory: C:\ProgramData\vWdMv RemoveDirectory: C:\Users\Oskar\AppData\Local\Lenovo RemoveDirectory: C:\Users\Oskar\AppData\Local\MediaShow RemoveDirectory: C:\Users\Oskar\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\Oskar\AppData\Roaming\TSv RemoveDirectory: C:\Users\Oskar\AppData\Roaming\WinZipper RemoveDirectory: C:\Windows\System32\Tasks\Lenovo C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Oskar\Downloads\sh-remover.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan) skonfigurowany zgodnie z wytycznymi forum, ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut. Proszę wrócić do konfiguracji i uzupełnić ten brakujący log: KLIK.

W systemie są także inne obiekty adware niedokładnie wcześniej wyczyszczone. I używałeś wątpliwy skaner-naciągacz SpyHunter. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Lenovo Experience Improvement (zbędny program), Shared C Run-time for x64 (odpadek po odinstalowanym McAfee), Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (odpadki po odinstalowanym AVG), WinZipper (adware). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-15] () R2 EMUpdateCerter; C:\WINDOWS\SysWOW64\acmphelper.dll [413312 2015-08-11] () R2 IhPul; C:\Users\Paweł Górniak\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\FWdMF\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S2 Update Mgr StrongSignal; "C:\Program Files (x86)\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce\updater.exe" [X] ShortcutWithArgument: C:\Users\Paweł Górniak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP ShortcutWithArgument: C:\Users\Paweł Górniak\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP ShortcutWithArgument: C:\Users\Paweł Górniak\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP&q={searchTerms} HKU\S-1-5-21-720095144-239407429-1005869762-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP HKU\S-1-5-21-720095144-239407429-1005869762-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP HKU\S-1-5-21-720095144-239407429-1005869762-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP&q={searchTerms} SearchScopes: HKU\S-1-5-21-720095144-239407429-1005869762-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP&q={searchTerms} SearchScopes: HKU\S-1-5-21-720095144-239407429-1005869762-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP&q={searchTerms} BHO-x32: Outrageous Deal -> {4e2d2bf0-159f-4257-acf0-b1f29b376fa0} -> C:\Program Files (x86)\Outrageous Deal\Extensions\4e2d2bf0-159f-4257-acf0-b1f29b376fa0.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE hxxp://www.yoursites123.com/?type=sc&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP Edge HomeButtonPage: HKU\S-1-5-21-720095144-239407429-1005869762-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\istartsurf.xml [2015-11-08] FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yoursites123.xml [2015-12-14] CHR HKLM\...\Chrome\Extension: [jeaohhlajejodfjadcponpnjgkiikocn] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2015-10-12] CHR HKLM-x32\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450098558&z=0dcc66ecc53dc5d9e42c5dfg7z4w6e8e4t4b5w1q2c&from=wpm07173&uid=ST500LT012-1DG142_S3PA77MPXXXXS3PA77MP HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Task: {0021258B-87B2-4F60-AA08-6B40B964CC7C} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" Task: {0BC296D3-82FF-45DB-8D3A-BBFD7690404D} - System32\Tasks\{34DD01EF-567E-42A1-BFCB-306A9D310B5E} => pcalua.exe -a E:\cda_menu.exe -d E:\ Task: {32CCA36A-2803-4FE0-999C-130809AA7FF1} - System32\Tasks\{42ACF313-65EB-4EF1-AA36-445592C23BA6} => pcalua.exe -a "C:\Program Files (x86)\Picexa\uninstall.exe" Task: {406853A0-5944-48C2-B288-498562E1001F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {49DFFE06-333D-43DB-8CA9-470FAF3C3171} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {5600E372-75E4-4B05-AEDB-23419BC5EB8E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {5D3345B5-BAAE-4320-B0BE-C559B863B13F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {5FEC6432-3CFE-4328-B956-63AA674D9793} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe Task: {6836728A-07B3-42AD-A58B-63E244555E9B} - System32\Tasks\{17621E5A-F836-408A-832B-DBE288A9BA20} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.1.0.105&LastError=404 Task: {7463128C-F39E-4110-9989-FED9BDDC526C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {75BD2D36-66CD-4341-B908-D08894DAAE07} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {771EF641-DC2B-404A-99CC-0624ECB5113A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A7E8226C-4FA3-46C9-8F54-7A061589846A} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {AC165305-C41A-4C67-9B3A-7DF095193A74} - System32\Tasks\{EB8E6220-3EE5-4D1E-9323-A2EBF73BFE10} => pcalua.exe -a "C:\Program Files (x86)\Intel\OpenCL SDK\2.0\Uninstall\setup.exe" -c -uninstall Task: {AD03708F-9706-455C-B753-BAE3731B572D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {B75CC2E1-4FE8-46A4-B89B-9FE02B7FA729} - System32\Tasks\{AF520519-AF68-49F7-A239-84C1AC1ED8AA} => pcalua.exe -a E:\Uruchom.EXE -d E:\ Task: {C9117321-AE5B-4792-A0D9-28CB53066E75} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {DA013BC4-3717-4FE8-9977-BAAB986F2A52} - System32\Tasks\{CADBE078-04E5-4119-B7CF-8EF9194BC924} => pcalua.exe -a E:\AutoRun.exe -d E:\ Task: {E4091DD4-C60C-43FF-8A5F-320ED28DDCC5} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-11-21] (Lenovo) Task: {FB743EF0-CF80-45E1-92A1-3A7ACF20769A} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files (x86)\AVG RemoveDirectory: C:\Program Files (x86)\FreeCodecPack RemoveDirectory: C:\Program Files (x86)\Freemake RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\5WMiniPro5 RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Freemake RemoveDirectory: C:\ProgramData\FWdMF RemoveDirectory: C:\ProgramData\GridinSoft RemoveDirectory: C:\ProgramData\UWdMU RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{00EBCA8F-FF3C-44B7-A40E-C23676199D2C} RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{33AF943B-79FC-404D-85D1-77B66DAACAF9} RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\Users\Paweł Górniak\AppData\Local\4kdownload.com RemoveDirectory: C:\Users\Paweł Górniak\AppData\Local\Avg RemoveDirectory: C:\Users\Paweł Górniak\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\Paweł Górniak\AppData\Roaming\AVG RemoveDirectory: C:\Users\Paweł Górniak\AppData\Roaming\DVDVideoSoft RemoveDirectory: C:\Users\Paweł Górniak\AppData\Roaming\RPEng RemoveDirectory: C:\Users\Paweł Górniak\AppData\Roaming\TSv RemoveDirectory: C:\Users\Paweł Górniak\AppData\Roaming\WinZipper RemoveDirectory: C:\Users\Paweł Górniak\AppData\Roaming\YoutubeToMp3Converter C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\hash.dat C:\ProgramData\rxsmznjf.zcp C:\ProgramData\mntemp C:\Users\Paweł Górniak\AppData\Roaming\trace_FilterInstaller.* C:\Users\Paweł Górniak\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Paweł Górniak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Paweł Górniak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Paweł Górniak\Downloads\SpyHunter-Installer (1).exe C:\Users\Paweł Górniak\Downloads\SpyHunter-Installer.exe C:\WINDOWS\System32\Drivers\EsgScanner.sys C:\WINDOWS\System32\Tasks\GridinSoft Anti-Malware C:\WINDOWS\SysWOW64\acmphelper.dll C:\WINDOWS\SysWOW64\data.bin CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Osoby > usuń poprzedni nieużywany profil, o ile widać więcej niż dwie "Osoby". 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź, że problemu nie ma także w przeglądarce Edge.

1. Przepraszam, rzeczywiście przeciąganie adresów na ekran Aplikacji tworzy rozszrzenia o unikatowych ID. 2. Fix FRST wykonany. Usuń pobrany FRST i jego logi z folderu C:\Users\Szymek\Downloads\Programs + skasuj folder C:\FRST.

Podstawowa sprawa już rozwiązana, ale nie można zostawić kont w takim stanie. Kolejne podejście z poborem danych, tym razem z kontekstu konta administracyjnego. Warunkiem muszą być zalogowane wszystkie konta po kolei, a jako ostatnie administracyjne. Czyli zaloguj Paulinę > opcja Przełącz użytkownika > zaloguj Zbigniewa > opcja Przełącz użytkownika > zaloguj Arka i na Arku wykonaj fixlist.txt o zawartości: ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Dostarcz wynikowy fixlog.txt.

Wszystko zrobione. Poprawki: 1. Nie zauważyłam bardzo starego Adobe AIR. Odinstaluj. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix FRST wykonany. Jeśli chodzi o problemy limitowanych kont, to podaj mi eksporty rejestru jak są skonfigurowane ścieżki specjalnych folderów powłoki. Na kontach Paulina i Zbigniew zrób i wykonaj fixlist.txt o tej samej zawartości: Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Dostarcz oba pliki fixlog.txt. To tylko pobór danych, a nie naprawa.

Działania do wykonania: 1. Odinstaluj stare wersje i zbędniki Adobe AIR, Adobe Flash Player 18 NPAPI, Akamai NetSession Interface, Java 7 Update 45 oraz adware WinZipper. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Piotrek\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-14] (tsvr.com) R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-14] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> D:\Programy\mozilla\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> D:\Programy\mozilla\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-4237668962-1813254712-1803451927-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653&q={searchTerms} HKU\S-1-5-21-4237668962-1813254712-1803451927-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653&q={searchTerms} HKU\S-1-5-21-4237668962-1813254712-1803451927-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 HKU\S-1-5-21-4237668962-1813254712-1803451927-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-4237668962-1813254712-1803451927-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653&q={searchTerms} SearchScopes: HKU\S-1-5-21-4237668962-1813254712-1803451927-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653&q={searchTerms} SearchScopes: HKU\S-1-5-21-4237668962-1813254712-1803451927-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO-x32: Brak nazwy -> {1F91A9A1-01BA-4c81-863D-3BA0751E1419} -> Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://start.qone8.com/?type=sc&ts=1382388326&from=cor&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\1ognvtv4.default\extensions\faststartff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\1ognvtv4.default\extensions\shortcutff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\1ognvtv4.default\extensions\detgdp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\1ognvtv4.default\extensions\quick_searchff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\1ognvtv4.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\1ognvtv4.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\1ognvtv4.default\extensions\deskCutv2@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\1ognvtv4.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - D:\Programy\mozilla\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450109518&z=6dbe7adc9a19de03ca1bf37g0z5w4e2g5ect8w7gem&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2U5J9DD420653 Task: {3AA83FDB-0F15-4FC7-A0F2-853FE4EB40CB} - System32\Tasks\{0D70EE84-6874-4319-8E63-BDEFCD5905B6} => F:\setup.exe [2007-10-17] () Task: {5310A72B-6DC6-4BA4-ACA8-FFEECCE21800} - System32\Tasks\{5F32A1CA-989A-4F4C-8AF4-E7D2AD7191BF} => pcalua.exe -a C:\Users\Piotrek\Downloads\converter.exe -d C:\Users\Piotrek\Downloads Task: {B575AA88-14D4-444D-918F-5843BAC78B5A} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe Task: {B82B445E-1EB6-4D94-9C1E-518320FFF168} - System32\Tasks\{BEDB08B8-0195-49A2-85D5-C609C4EA6BA8} => pcalua.exe -a C:\Users\Piotrek\Desktop\htc\RUU_Leo_S_TMO_PL_3.14.118.1_Radio_15.42.50.11U_2.15.50.14_LEO_S_Ship.exe -d C:\Users\Piotrek\Desktop\htc Task: {BAFC77E9-A984-484A-B5C1-F20193993AE3} - System32\Tasks\{E80E4FFC-C212-4AD0-BEC8-15E1BFE37ED4} => pcalua.exe -a F:\setup.exe -d F:\ Task: {CA955A90-5704-4D11-8BDD-690E6D6D3D52} - System32\Tasks\{2EA9D6FD-E4BC-48A4-B4D8-0113D4B626EA} => pcalua.exe -a F:\directx\dxsetup.exe -d F:\directx HKU\S-1-5-21-4237668962-1813254712-1803451927-1000\...\Policies\Explorer: [] S3 AthBTPort; system32\DRIVERS\btath_flt.sys [X] S3 BTATH_A2DP; system32\drivers\btath_a2dp.sys [X] S3 btath_avdt; system32\drivers\btath_avdt.sys [X] S3 BTATH_BUS; system32\DRIVERS\btath_bus.sys [X] S3 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [X] S3 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [X] S3 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [X] S3 BtFilter; system32\DRIVERS\btfilter.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S1 {55685567-4840-4a91-962b-49a412e9485a}Gw64; system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys [X] S1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox 29.0.1 (x86 pl) DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\ProgramData\6WMiniPro6 RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\ProgramData\yWdMy RemoveDirectory: C:\Users\Piotrek\AppData\Local\Opera Software RemoveDirectory: C:\Users\Piotrek\AppData\Roaming\.ACEStream RemoveDirectory: C:\Users\Piotrek\AppData\Roaming\ACEStream RemoveDirectory: C:\Users\Piotrek\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\Piotrek\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Piotrek\AppData\Roaming\Shortcut RemoveDirectory: C:\Users\Piotrek\AppData\Roaming\TSv C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CWK.lnk C:\Users\Piotrek\Desktop\CWK.lnk C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, by nie zablokował FRST i FRST nie może działać w piaskownicy, gdyż w ogóle nic nie wykona. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie odinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome:Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

DelFix wykonał zadanie. Skasuj z dysku plikC:\delfix.txt. Problemem był niezabezpieczony router. Po to podawałam to: I po też była aktualizacja firmware, która powinna zamknąć lukę związaną z panelem zarządzania, ale upewnij się, że jest skonfigurowane jak podałam. I założyłam, że zmieniłeś login, bo domyślny nie może zostać (jest powszechnie znany).

Prawdopodobnie chodzi o rejestrację WMI w Centrum zabezpieczeń (jakoś umknęło mi to w FRST Addition): ==================== Centrum zabezpieczeń ======================== AV: Avira AntiVir PersonalEdition (Disabled - Out of date) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE} Widzę, że były próby z instalacjami Avast + Comodo i ich szczątki też będziemy usuwać, przy czym wypięcie Comodo z Dziennika zdarzeń wymaga tymczasowego wyłączenia Dziennika, czyli aż dwóch skryptów. Poprawki: 1. Uruchom AdwCleaner ponownie, tym razem wybierz kombinację opcji Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: AV: Avira AntiVir PersonalEdition (Disabled - Out of date) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE} S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] S3 xspirit; \??\C:\WINDOWS\xspirit.sys [X] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Comodo RemoveDirectory: C:\Documents and Settings\Administrator\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Comodo RemoveDirectory: C:\Program Files\Comodo CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przekopiuj gdzieś indziej wynikowy fixlog.txt. 3. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\COMODO I.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Również nastąpi restart. Powstanie kolejny fixlog.txt. Dostarcz oba pliki fixlog.txt.

Tutaj z kolei takie akcje: 1. Odinstaluj adware TubeSaver oraz stare wersje i zbędniki Adobe Flash Player 15 ActiveX, Adobe Shockwave Player 12.1, AVG Web TuneUp, McAfee Security Scan Plus, OpenOffice.org 3.4.1, Pando Media Booster. Później będzie do instalacji najnowszy OpenOffice. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420481840&from=cor&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420481840&from=cor&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420481840&from=cor&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420481840&from=cor&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996&q={searchTerms} HKU\S-1-5-21-3039114009-1155605666-1411358329-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1420481926&from=cor&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996&q={searchTerms} HKU\S-1-5-21-3039114009-1155605666-1411358329-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 HKU\S-1-5-21-3039114009-1155605666-1411358329-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420481926&from=cor&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 hxxp://www.google.com HKU\S-1-5-21-3039114009-1155605666-1411358329-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 HKU\S-1-5-21-3039114009-1155605666-1411358329-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1420481926&from=cor&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420481840&from=cor&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420481840&from=cor&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420481840&from=cor&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420481840&from=cor&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996&q={searchTerms} SearchScopes: HKU\S-1-5-21-3039114009-1155605666-1411358329-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996&q={searchTerms} SearchScopes: HKU\S-1-5-21-3039114009-1155605666-1411358329-1000 -> 0281489786C7498697C490711A678FEF URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3039114009-1155605666-1411358329-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3039114009-1155605666-1411358329-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3039114009-1155605666-1411358329-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3039114009-1155605666-1411358329-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996&q={searchTerms} SearchScopes: HKU\S-1-5-21-3039114009-1155605666-1411358329-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.bing.com/search?FORM=U270DF&PC=U270&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-3039114009-1155605666-1411358329-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3039114009-1155605666-1411358329-1002 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKU\S-1-5-21-3039114009-1155605666-1411358329-1004 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-3039114009-1155605666-1411358329-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Toolbar: HKU\S-1-5-21-3039114009-1155605666-1411358329-1002 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku DPF: HKLM {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1448833131&z=98c25157628e2e2f2c72918gczez1b0b8c2c3g7oct&from=cornl&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\dfwrh5pz.default\extensions\fftoolbar2014@etech.com FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\dfwrh5pz.default\extensions\faststartff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\dfwrh5pz.default\extensions\quick_searchff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\dfwrh5pz.default\extensions\sweetsearch@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\dfwrh5pz.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\dfwrh5pz.default\extensions\yahooprotected@gmail.com FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\dfwrh5pz.default\extensions\default_newtabff@gmail.com FF HKU\S-1-5-21-3039114009-1155605666-1411358329-1000\...\Firefox\Extensions: [Tubesaver@istqt.co] - C:\Program Files (x86)\TubeSaver\133.xpi StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 CHR HKU\S-1-5-21-3039114009-1155605666-1411358329-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3039114009-1155605666-1411358329-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mlkikmimdmmkcokjpbhmlphimiefgeol] - C:\Users\Admin\AppData\Local\CRE\mlkikmimdmmkcokjpbhmlphimiefgeol.crx [2013-12-15] CHR HKLM-x32\...\Chrome\Extension: [mlkikmimdmmkcokjpbhmlphimiefgeol] - C:\Users\Admin\AppData\Local\CRE\mlkikmimdmmkcokjpbhmlphimiefgeol.crx [2013-12-15] CHR HKLM-x32\...\Chrome\Extension: [ojcdnngpmbenohhjlickdajclhbcaada] - C:\Program Files (x86)\TubeSaver\133.crx [2013-09-11] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1450111534&z=c37fdeea2e46336e0d2fce4g7z5w4ecg5gcg2wcc2c&from=wpm07173&uid=WDCXWD1600BEVT-75ZCT2_WD-WXEX08VXN996XN996 Task: {50BE3B3C-90E8-4B6F-94A9-D7449F558153} - System32\Tasks\{B3A0E177-E3FE-4924-BA5E-6875D1A43CD5} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{C12631C6-804D-4B32-B0DD- Task: {86B71BD9-4E79-4A5F-B0D9-5A11E7903C84} - System32\Tasks\{849B4DE6-046F-496E-9401-6EA81629CCE2} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {CE8D2B9A-005F-4822-9DE0-5EC4CCA7AF2E} - System32\Tasks\Run RoboForm TaskBar Icon => C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe HKLM-x32\...\Run: [MFARestart] => "C:\ProgramData\MFAData\pack\avgrunasx.exe" /usereg HKU\S-1-5-21-3039114009-1155605666-1411358329-1000\...\Run: [swg] => "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" HKU\S-1-5-21-3039114009-1155605666-1411358329-1000\...\Run: [Tiny download manager] => "C:\Users\Admin\AppData\Local\DM\TinyDM.exe" /M ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku S1 wafd_1_10_0_18; system32\drivers\wafd_1_10_0_18.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeARMservice DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.4.1.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^grzegorz xd^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.4.1.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IPLA! DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ooVoo.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\omiga-plus uninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\TubeSaver RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\9WMiniPro9 RemoveDirectory: C:\ProgramData\BWdMB RemoveDirectory: C:\ProgramData\DWdMD RemoveDirectory: C:\Users\Admin\AppData\Local\CRE RemoveDirectory: C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{E4756413-BFF8-47AB-8063-83699A5C6FA2} RemoveDirectory: C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{7042C1F1-53C4-4E5B-B2CD-2BBBFFC16C98} RemoveDirectory: C:\Users\Admin\AppData\Roaming\TSv RemoveDirectory: C:\Users\Admin\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\Admin\AppData\Roaming\WinZipper RemoveDirectory: C:\Users\Admin\AppData\Roaming\yoursearching RemoveDirectory: C:\Users\grzegorz xd\AppData\Local\Microsoft\Windows\GameExplorer\{B759CD57-0D6B-46A4-8A9D-1946AD287257} C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Admin\Desktop\pliki\pliki\Malwarebytes Anti-Malware.lnk C:\Users\Admin\Desktop\pliki\pliki\McAfee Security Scan Plus.lnk C:\Users\Admin\Desktop\Zawoja 2\Krakus\CENNIK.lnk C:\Users\Admin\Favorites\GG dysk (*).lnk C:\Users\Admin\Links\GG dysk (*).lnk C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\pss\OpenOffice.org 3.4.1.lnk.Startup C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i się na niego zaloguj + zaimportuj zakładki, a stary usuń całkowicie. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.