picasso

Po pierwsze, by widzieć te katalogi, musisz mieć włączone pokazywanie ukrytych folderów w Opcjach folderów: zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego. Po drugie, tych folderów tam może nie być wcale, jeśli folder "user" został zdewastowany. Tu właśnie nie jest pewne do jakiego stopnia jest uszkodzony ten "user", tam może nie być nic do kopiowania... Dla świętego spokoju możesz mi podać specjalny wyciąg całego folderu "user", to się dowiem na 100% jaka jest zawartość. Otwórz Notatnik i wklej w nim: Folder: C:\Users\user Jeśli jednak konto już usunąłeś i ten folder zniknął, to zamiennie zrób skrypt na przekopiowanej na Pulpit Ja zawartości: Folder: C:\Users\Ja\Desktop\user Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Jeśli "user" jest mało uszkodzony, log będzie monstrualny i nie wejdzie w załącznik. W takim przypadku po prostu shostuj go gdzieś i podaj link do niego.

1. AdwCleaner czepia się programu DriverAgent by eSupport.com. Odinstaluj go w poprawny sposób. Następnie uruchom AdwCleaner ponownie, wybierz po kolei opcje Skanuj + Usuń, pokaż log z czyszczenia. 2. W związku z tym, iż poprzednio były logi wykazujące brak akcji w Firefox, poproszę o dowód, że to rzeczywiście już wykonane. Tzn. zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition.

Dla porządku zróbmy to w drugim temacie. A na komputerze mogła być zainstalowana wersja DEAMON Tools Lite, która nie posługuje się się sterownikiem SPTD tylko własnym, narzędzie SPTDinst nie wykryje więc nic. W przypadku problemów log z GMER opuść. W raporcie widać wyraźnie, że rzeczywiście ziazi stało się w trakcie pobierania Defragglera (dfsetup216.exe), przy czym wymieniony instalator jest poprawny, musiał być użyty inny mostowy "downloader". Oceniając zestaw adware w raportach z usuwania, owszem sądzę że przyczyną był "Asystent pobierania" dobrychprogramów. I w systemie nadal są obiekty adware: usługa MustangService_2015_10_10, polityki blokujące coś w Google Chrome i przekierowania searchinterneat-a.akamaihd.net w IE. Doczyszczanie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer2241.exe [236816 2015-10-09] (MustangService) S3 ALSysIO; \??\C:\Users\KRZYSZ~1\AppData\Local\Temp\ALSysIO64.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfWpdAEsSSX5NL04=&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfXRZD0AjREZWLE1LKUwT&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ4IA1wVQw0TbQENVF1cFQEadhQBUVtDDA1HcloNUAFDFQcVIR9aFQQTSEcFME0FCFwEURNNfWpdAEsSSX5NL04=&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-270605537-1721649966-1895909746-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130944528556762000&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\9a4b8b26-f4e0-4529-a5b4-93ec828f7e42 RemoveDirectory: C:\ProgramData\TempMoudleSet C:\Users\Krzysztof\Downloads\*-dp*.exe C:\Users\Krzysztof\Downloads\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. AdwCleaner wykrywał śmieci w preferencjach Firefox. Dla pewności jeszcze go przeładuj: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Zacznij od posprzątania bałaganu z oprogramowaniem zabezpieczającym, duplikaty funkcyjne: ==================== Zainstalowane programy ====================== McAfee LiveSafe (HKLM-x32\...\MSC) (Version: - ) ZoneAlarm Antivirus (x32 Version: 14.1.011.000 - Check Point Software Technologies Ltd.) Hidden ZoneAlarm Firewall (x32 Version: 14.1.011.000 - Check Point Software Technologies Ltd.) Hidden ZoneAlarm Free Firewall (HKLM-x32\...\ZoneAlarm Free Firewall) (Version: 14.1.011.000 - Check Point) ZoneAlarm Security (x32 Version: 14.1.011.000 - Check Point Software Technologies Ltd.) Hidden W systemie na chodzie cały pakiet McAfee LiveSafe skombinowany z zestawem ZoneAlarm który również wygląda na cały pakiet, tylko częściowo niepoprawnie odinstalowany. Jedyna widoczna pozycja to ZoneAlarm Firewall, reszta wpisów ukryta, a w systemie na chodzie cała pula sterowników Kasperskiego które powinny być składową antywirusa Zone (używa silnika Kasperskiego). Przy okazji można się pozbyć kilku zbędnych programów Lenovo. 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Lenovo Experience Improvement, Lenovo SHAREit (jeśli nie korzystasz), ZoneAlarm Free Firewall. - Zastosuj z poziomu Trybu awaryjnego Windows narzędzie Kaspersky Remover. Po jego użyciu opuść tryb awaryny. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > o ile będą widoczne, zaznacz na liście wpisy Metric Collection SDK 35, ZoneAlarm Antivirus, ZoneAlarm Firewall, ZoneAlarm Security > Dalej. Narzędzie nie umożliwia akcji hurtowej, należy je uruchomić tyle razy ile wpisów. 2. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. Opisz czy jest poprawa.

Chyba już tu nic więcej nie wymyślę. W raportach nie było oznak infekcji powiązanych ze zdarzeniem. Nie wiem w jaki sposób nastąpiło przejęcie danych.

Formatowanie raportów zepsute - proszę nie korzystaj z serwisu wklejto, zniekształca format i kodowanie raportów, ani nie uploaduj logów na zewnętrzny hosting (czekanie i reklamy). Skorzystaj z załączników forum. Proszę dołącz oryginalne pliki jakie powstały na dysku, a nie te już przeklejone treści zapisane ręcznie do nowych plików.

1. Uruchom AdwCleaner ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń. Przedstaw wynikowy log z akcji czyszczenia. 2. W związku z tym, że poprzednio akcje Firefox nie zostały wykonane, a AdwCleaner tak jakby sugeruje że nie zrobiłeś resetu Firefox, poproszę o nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, mający udowodnić, że wykonałeś zalecenia.

1. Uruchom AdwCleaner ponownie, wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Usuń pobrane skanery i ich logi z folderu C:\Users\Mariusz\Downloads\wir. Następnie zastosuj DelFix. W sygnaturce mam link do tematu podającego te dane. Z góry dzięki za ewentualne wsparcie.

Oczywiście możesz skopiować cały folder "user" na Pulpit konta "Ja". Ale tego folderu w całości właśnie nie można wstawić na świeżo założone konto, tylko wybrane elementy z niego. W folderach C:\Users\TEMP, C:\Users\TEMP.user-Komputer nie ma czego szukać. To są katalogi tymczasowe zrzucone przez system od zera gdy nie było możliwości zalogować poprawnie konta i tam nie ma poprzednich danych użytkownika. Usunięciem tych folderów zajmę się potem. Z żadnego z nich. To nie są poprawne magazyny, należą do tymczasowego konta. Interesuje Cię tylko i wyłącznie ścieżka C:\Users\user.

Skoro problem występuje we wszystkich komputerach sieci, to chodzi o któreś urządzenie sieciowe rozdzielające ruch i nie ma czego szukać w lokalnych ustawieniach systemu. Te wyniki w AdwCleaner są bez znaczenia, to tylko skutek przekierowań a nie ich przyczyna. To są rekordy z HTML5 Local Storage (rodzaj podobny do cookies / cache), tzn. otworzona została reklama > Chrome zapisało dane witryny > dane te nie powodują przekierowań. Skoro DNS są poprawne w obu sprawdzanych urządzeniach, to jeszcze posprawdzaj inne adresy IP w konfiguracji urządzeń.

To już sprawdzałam. Adresy DNS pobierane z routera zdają się być prawidłowe (Orange): Tcpip\Parameters: [DhcpNameServer] 194.204.159.1 194.204.152.34 Tcpip\..\Interfaces\{9355CF30-DD5B-4C3D-B90B-55B655DFBD70}: [DhcpNameServer] 194.204.159.1 194.204.152.34 W związku z powyższym zostaje kontakt z dostawcą sieciowym i zgłoszenie mu problemu infekcji sieciowej.

To już dawno zrobione. Poprzedni Fix FRST zawierał to: I wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder FRST. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Materiał do wglądu na co uważać: KLIK.

1. Fix FRST pomyślnie odblokował te klucze alternatywnych kont. Teraz zresetuj komputer, zaloguj się na Paulinę i sprawdź czy problem z folderami ustąpił. Podobnie na koncie Zbigniew. 2. Edycja wygląda na poprawną. W związku z tym zrób mi nowy komplet logów z Arka (FRST.txt + Addition.txt).

Czyli mam rozumieć, że w Dodaj/Usuń programy "AVG Web TuneUp" zwraca jakiś błąd podczas instalacji? Tu była bardzo stara wersja z lukami. Na temat Adobe Reader jest w temacie dedykowanym aktualizacjom: KLIK. Ewentualna instalacja nowszego Adobe Reader dopiero po wykonaniu poniższego skryptu w punkcie 2 (usuwa szczątkowe katalogi Adobe). Nie odpowiedziałeś na pytanie czy jest poprawa w działaniu systemu. A usterka Usług kryptograficznych pomyślnie naprawiona. Kolejne akcje: 1. W raporcie widzę jeszcze kontrolkę rozszerzonej wersji Microsoft Update. Ten komponent może obciążać usługę Automatycznych aktualizacji, co skutkuje spowolnieniem. Tutaj instrukcje jako przełączyć na zwykłe Windows Update: KLIK. 2. Kosmetyczne poprawki pod kątem wpisów odpadkowych. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 McShield; C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe [X] S3 McSysmon; C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe [X] HKLM\...\Run: [LaunchApp] => Alaunch HKU\S-1-5-21-16367085-3515729489-2401863920-1006\...\Run: [AvgUpdater0715tb] => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0715tb\0715tb_AVG-Secure-Search-Update_0715tb.exe /SETINFO /CMPID=0715tb /INFORETRY=-61 HKU\S-1-5-21-16367085-3515729489-2401863920-1006\...\MountPoints2: {6f7ea4aa-fea6-11e3-9319-00242b048028} - D:\Startme.exe HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-16367085-3515729489-2401863920-1006\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie Toolbar: HKLM - Brak nazwy - {0BF43445-2F28-4351-9252-17FE6E806AA0} - Brak pliku Toolbar: HKU\S-1-5-21-16367085-3515729489-2401863920-1006 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\All Users\Dane aplikacji\Adobe C:\Documents and Settings\All Users\Dane aplikacji\AVG2014 C:\Documents and Settings\Mariush\Dane aplikacji\Adobe C:\Documents and Settings\Mariush\Dane aplikacji\Mozilla C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\Adobe C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Program Files\GUM6F.tmp C:\Program Files\Adobe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi już potrzebne.

Zadania pomyślnie wykonane. Zastosuj DelFix. To wszystko. PS. I miej na uwadze, że aktualizacja Windows 7 > Windows 10 wyłączyła Przywracanie systemu.

Podaj mi jeszcze spis kopii plików. Uruchom FRST, w polu Szukaj wklej: aelupsvc.dll.mui;autoexec.bat;config.sys Klik w Szukaj plików i dostarcz wynikowy log.

Omiń wyniki typu Suspicious files oraz te: C:\Ross-Tech\VCDS-Lite\loader.exe Size . . . . . . . : 199 168 bytes Age . . . . . . . : 49.8 days (2015-10-26 21:26:53) Entropy . . . . . : 8.0 SHA-256 . . . . . : CAD4950C9C0B7473B001C6DCC2401E2B36911BC7B2C4A043BC83158BFAFA9B9D > HitmanPro . . . . : Malware Fuzzy . . . . . . : 106.0 References C:\Users\Dj Tedex Studio\Desktop\VCDS-Lite.lnk C:\Users\Dj Tedex Studio\AppData\Local\NVIDIA\NvBackend\StreamingAssets\sniper_elite_3\automated_launch.exe Size . . . . . . . : 46 592 bytes Age . . . . . . . : 273.0 days (2015-03-17 15:18:26) Entropy . . . . . : 5.2 SHA-256 . . . . . : C2436FAE74C8700B906D77C9C8E55F5A11FE49563C2D95B363E6B17500B5BEDB Product . . . . . : OL LanguageID . . . . : 0 > Bitdefender . . . : Trojan.GenericKD.2079543 Fuzzy . . . . . . : 106.0 C:\Users\Dj Tedex Studio\Desktop\Programy\LOIC.exe Size . . . . . . . : 134 144 bytes Age . . . . . . . : 538.8 days (2014-06-24 20:05:43) Entropy . . . . . : 7.5 SHA-256 . . . . . : 1D5FC634F976DC3C3F339E46365AF78940CB1F49CAA46E76E70F7C6CE8DAD089 Product . . . . . : Low Orbit Ion Cannon LanguageID . . . . : 0 > HitmanPro . . . . : Malware Fuzzy . . . . . . : 114.0 C:\Users\Dj Tedex Studio\Documents\My Games\FarmingSimulator2015\SaveGameEditor.exe Size . . . . . . . : 105 984 bytes Age . . . . . . . : 337.8 days (2015-01-11 19:32:20) Entropy . . . . . : 7.7 SHA-256 . . . . . : 893C1B0A6F1FA5E02EA6C008218F743844F9D3769DD5F17EB9092A0D11A3FD60 Product . . . . . : SaveGameEditor LanguageID . . . . : 0 > Bitdefender . . . : Gen:Variant.Kazy.534233 Fuzzy . . . . . . : 114.0 Cała reszta za to do usunięcia.

No cóż, ten komunikat oznacza stan początkowy właśnie, czyli konto o charakterze tymczasowym uruchamiane z C:\Users\TEMP (pomimo że komunikat mówi o C:\Windows\system32\config\systemprofile). Konto nie zostało przekierowane poprawnie w Reprofiler, z jednej z następujących przyczyn: - Albo coś źle wykonałeś z tymi sekwencjami Detach + Assign. - Albo zadanie zostało poprawnie wykonane, lecz coś jest nie tak z folderem C:\Users\user i system je ponownie odrzucił. Folder może być w taki sposób uszkodzony, że nie jest możliwe jego używanie. Proponuję już się z tym nie męczyć i po prostu założyć nowe konto wg następujących wytycznych: 1. Z poziomu sprawnego konta Ja przekopiuj co jest ważnego z folderu C:\Users\user. Ścieżki pod uwagę (ale samodzielnie przewertuj cały katalog "user"): ----> Zawartość Pulpitu, Dokumenty, Ulubione IE: C:\Users\user\Desktop C:\Users\user\Documents C:\Users\user\Favorites ----> Ustawienia programów: C:\Users\user\AppData\Local C:\Users\user\AppData\LocalLow C:\Users\user\AppData\Roaming Nie kopiuj przypadkiem tych folderów "Local" + "Roaming" w całości, tam mogą być śmieci adware i uszkodzenia. Kopiuj tylko i wyłącznie te dane, które są rzeczywiście "niezbędne". 2. Następnie w Panelu sterowania usuń to konto, zaznaczając także usuwanie danych użytkownika. Załóż nowe konto, zaloguj się na nie, wklej tam przekopiowane w punkcie 1 dane do korespondujących katalogów. Potwierdź wykonanie zadania.

Problemem jest infekcja DNS. Podawałam kilka razy gdzie konfigurować, z jakiejś przyczyny Twoje operacje były nie do końca udane. W ostatnim podejściu starałam się usunąć z rejestru wartości, by odpalić "aktualizację" danych + ponowne czyszczenie bufora DNS, ale widzę że to nie działa. Pokaż mi obrazki z tej akcji, co i gdzie konfigurujesz. Nie, dopóki nie rozwiążemy w/w przekierowań adware oraz nie wdrożymy korekty kont. Jeśli chodzi o konta, to zdaje się być problem właśnie w owych kluczach z "Odmową dostępu", mają wymazane całkowicie uprawnienia z nieznanej przyczyny (żaden z Fixów FRST tam nie grzebał). Podejście z resetem uprawnień: Tak jak poprzednio, ma być następujący układ: zaloguj Paulinę > opcja Przełącz użytkownika > zaloguj Zbigniewa > opcja Przełącz użytkownika > zaloguj Arka i na Arku wykonaj fixlist.txt o zawartości: Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Unlock: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ListPermissions: HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKU\S-1-5-21-74317436-289575424-2793545732-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Dostarcz wynikowy fixlog.txt.

1. Uruchom AdwCleaner ponownie, wybierz opcje Skanuj i Usuń. Gdy ukończy czyszczenie, przez SHIFT+DEL (omija Kosz) skasuj cały folder C:\AdwCleaner. 2. Uruchom MBAM i sprawdź czy nic się już nie pokazuje.

Uruchom AdwCleaner ponownie, wybierz po kolei opcje Skanuj i Usuń, dostarcz wynikowy log z czyszczenia.

Poprawki: 1. Brak oznak wykonania tej czynności, do wdrożenia: 2. Następnie uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Poprawki: 1. Nie ma żadnych oznak wykonania tej czynności, do wdrożenia: 2. Następnie uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix FRST w ogóle się nie wykonał... Zatrzymał się na pierwszej komendzie zabijania procesów i tylko tyle. Powtórz operację rozpisaną wcześniej w punkcie 1 ale z poziomu Trybu awaryjnego Windows. Po akcji dostarcz nowe logi jak wyliczone w punkcie 3.

Na dysku są ślady pobierania via "Asystent pobierania" dobrychprogramów. Więcej na ten temat: KLIK. Poza tym, instalowałeś skaner-naciągacz SpyHunter. Operacje do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: DarkEra (fałszywka adware udająca grę o podobnej nazwie), WebStorage (zbędny program ASUSa), WinZipper (adware). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis AVG PC TuneUp 2015 (pl-PL) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Grzegorz\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-15] () ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} HKU\S-1-5-21-1613788600-3209457753-647740577-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1613788600-3209457753-647740577-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1613788600-3209457753-647740577-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1448997730&z=9d5d9ad21295c904a8e9ebfgdz1zfb1tct3m3m7o3m&from=cor&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1450131816&z=5a3967b390ecedf152c73beg7zaw1e3gbc0gcm4t6q&from=wpm07173&uid=HGSTXHTS541010A9E680_JA10021F31HU2N31HU2NX HKLM-x32\...\Run: [] => [X] Task: {23F235CF-D548-48FB-8966-75755092B63F} - System32\Tasks\{06196729-D823-4903-B01A-83F5642DBE08} => pcalua.exe -a "D:\GRY\World of Warcraft\World of Warcraft Launcher.exe" -d "D:\GRY\World of Warcraft" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\7WdM7 RemoveDirectory: C:\ProgramData\7WMiniPro7 RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\Users\Grzegorz\AppData\Local\Avg RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\AVG RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\DarkEra RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\TSv RemoveDirectory: C:\Users\Grzegorz\AppData\Roaming\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Grzegorz\Downloads\*-dp*.exe C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DarkEra.lnk C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkEra.lnk C:\Users\Grzegorz\Downloads\SpyHunter-Installer.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.