picasso

Usuwanie przeprowadzone pomyślnie. Kolejna faza do przeprowadzenia: 1. Zastosuj DelFix w celu usunięcia używanych narzędzi. 2. Następnie zrób jeszcze skan za pomocą Hitman Pro. Dostarcz wynikowy log. By wszedł w załączniki, musi mieć rozszerzenie *.txt. Po prostu zapisz do nowego pliku.

Uruchom AdwCleaner ponownie, wywołaj Skanuj. Gdy program ukończy ten etap, wejdź do karty Foldery i odznacz pozycję C:\Users\Dj Tedex Studio\Documents\Save, o ile to jakiś Twój cenny folder z sejwami gier, bo coś mi się zdaje że to fałszywy alarm AdwCleaner. Dopiero gdy to zrobisz, uruchom opcję Usuń. Przedstaw wynikowy log z czyszczenia.

Podam kiedy zainstalować Google Chrome, na razie nadal czyszczenie w toku. Podobna sprawa niestety była z Firefox - zainstalowałeś go, mimo że to było w ogóle nie wskazane na tym etapie czyszczenia, skutki są teraz takie, że narażasz świeżego Firefoxa na zaśmiecenie, bo nie wykonałeś jednak wszystkich poleceń. Poprawki: 1. Widzisz reklamy "DNS Unlocker", bo nie wykonałeś pierwszego punktu. Wdrożyć: 2. Nie został także odinstalowany wątpliwej reputacji Splashtop Connect IE Zynga. 3. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449070826&z=3e0652d099aefd4070864dag7z9z0tee6m9e9baoab&from=ient07021&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = S2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [X] (Wondershare) C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2072928 2014-10-31] (Wondershare) RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Common Files\Wondershare Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: ipconfig /flushdns Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 4. W systemie są aż trzy konta, każde musi być sprawdzone z osobna, na razie był analizowany tylko AREK: ==================== Konta użytkowników: ============================= AREK (S-1-5-21-74317436-289575424-2793545732-1000 - Administrator - Enabled) => C:\Users\AREK Paulina (S-1-5-21-74317436-289575424-2793545732-1003 - Limited - Enabled) => C:\Users\Paulina Zbigniew (S-1-5-21-74317436-289575424-2793545732-1004 - Limited - Enabled) => C:\Users\Zbigniew Po kolei zaloguj się na każde z kont z osobna poprzez pełny restart systemu, a nie opcję Wyloguj lub Przełącz użytkownika, na każdym koncie zrób po dwa logi FRST z opcji Skanuj (Scan) - główny FRST.txt + Addition.txt, Shortcut.txt nie jest potrzebny ponownie. Na kontach limitowanych Paulina i Zbigniew należy uruchomić FRST z dwukliku, a nie przez opcję "Uruchom jako Administrator" (zmieni kontekst konta i pokaże zawartość ARKA).

Poprawki: 1. Nie został odinstalowany AVG Web TuneUp - to pasek przemycany w instalatorach AVG, rekonfigurujący ustawienia przeglądarek. Traktowany jako "PUP" (Potencjalnie niepożądany program). Odinstaluj go, bo i tak AdwCleaner zadany w kolejnym punkcie go naruszy (i nie będzie się tego paska już dało poprawnie odinstalować). 2. Nie został wyczyszczony Firefox, nadal w nim adware stoi. Wykonaj zaległy krok: 3. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall Task: {4F56E6A6-E7B7-43AE-82BA-F4BB20ECE5C3} - System32\Tasks\{1BAC4118-B41B-4099-813E-8B05482E175F} => pcalua.exe -a C:\Users\Enoszka\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cornl HKLM-x32\...\Run: [VideoDownloadConverter EPM Support] => "C:\PROGRA~2\VIDEOD~1\bar\1.bin\4zmedint.exe" T8EPMSUP.DLL,S HKLM-x32\...\Run: [VideoDownloadConverter_4z Browser Plugin Loader 64] => C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\4zbrmon64.exe Toolbar: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> Brak nazwy - {7DF5D666-B938-4BD3-8B73-5E0DEBDC744D} - Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\VideoDownloadConverter RemoveDirectory: C:\ProgramData\STOPzilla! RemoveDirectory: C:\Users\Enoszka\AppData\Roaming\istartsurf Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 4. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Przecież raporty sprawdzam kompleksowo, a nie tylko pod kątem tego co zgłasza użytkownik. Co było widoczne w raportach, już usunięte. Nawiasem mówiąc, masz także crack aktywacji Office (AutoKMS), który ominęłam celowo, ale różne skanery mogą go wykrywać. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Mówiłam wyraźnie, by tylko uruchomić Skanuj, a nie Skanuj + Usuń. Wyniki AdwCleaner zawsze sprawdzam asekuracyjnie, na wypadek gdyby program pokazał coś co jest fałszywym alarmem. No trudno. I poproszę teraz o kolejny log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, mający udowodnić, że przeglądarki zostały wyczyszczone.

Ale tak spraw tu nie załatwiamy, by się oddalić bez słowa. Wyniki muszą być sprawdzone, skrypt mógł czegoś nie wykonać, coś mogło zostać ominięte, jakiś punkt mogłeś "ominąć" sądząc, że mało istotny, etc. Prosiłam wyraźnie:

Wszystko zrobione. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 NetTcpHandler; C:\Users\Szekla\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () RemoveDirectory: C:\Users\Szekla\AppData\Roaming\NetService RemoveDirectory: C:\Users\Szekla\AppData\Roaming\RunDir RemoveDirectory: C:\Users\Szekla\AppData\Roaming\shortCutStore ShortcutWithArgument: C:\Users\Szekla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\Users\Szekla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\Users\Szekla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\Users\Szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\Users\Szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\Users\Szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448706242 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448706242 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448706242 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448706242 HKU\S-1-5-21-2762194274-3811345680-3561318026-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448706242 FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Deinstalacja Firefox i Opera niestety nie usuwa w ogóle profilu z dysku. Na dysku pozostał cały profil z licznymi adware i gdybyś kiedykolwiek zainstalował w przyszłości Firefox, byłby natychmiastowo zaśmiecony. Trzeba czyścić ręcznie. Kolejne poprawki: 1. Odinstaluj Adobe Flash Player 20 NPAPI - już zbędny, to wtyczka dla Firefox. Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-2930414122-1855830695-2752083529-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Mozilla RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Opera Software RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Opera Software Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Przypuszczalnie zedytowałeś zły skrót. Odświeżony został Fallout4Launcher.lnk na Pulpicie, a ja podawałam, by korygować ten w folderze C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Fallout 4: 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Poprawki: 1. Nie odinstalowałeś starych wersji: Adobe Flash Player 10 ActiveX, Adobe Reader XI - Polish z groźnymi lukami. Wykonaj. 2. Nie ma żadnych śladów wykonania tej operacji i wszystko nadal aktualne: 3. Dopiero po wyczyszczeniu przeglądarek uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Posty skleiłam doprowadzając do oczekiwanej tu formy. Ale oczywiście odpowiadasz mi już w nowym poście. Jest tu więcej szkodników, tzn. sterownik adware WordFly oraz w Google Chrome pozornie poprawne rozszerzenie Shortcuts for All Google™ produkujące przekierowania iktmmny.com. Akcja: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny program zintegrowany na ASUS, a znany z produkowania błędów explorer.exe: WebStorage. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\bartek\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\BWdMB\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] R1 wfdrvr_vw_1_10_0_28; C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_28.sys [57712 2015-10-30] (WF) ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} HKU\S-1-5-21-3045090937-3747617143-1340328465-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 HKU\S-1-5-21-3045090937-3747617143-1340328465-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} SearchScopes: HKU\S-1-5-21-3045090937-3747617143-1340328465-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} SearchScopes: HKU\S-1-5-21-3045090937-3747617143-1340328465-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446485605&z=5ec90be8ca735156dc07221gcz4zbq1z6b8wec4cbw&from=cor&uid=KINGSTONXSV300S37A240G_50026B7258069507 FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\sidebarff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507" CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\bartek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\bartek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 U0 msahci; system32\drivers\msahci.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\BWdMB RemoveDirectory: C:\ProgramData\pWdMp RemoveDirectory: C:\ProgramData\UWMiniProU RemoveDirectory: C:\Users\bartek\AppData\Roaming\TSv RemoveDirectory: C:\Users\bartek\AppData\Roaming\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Ad.Block Pro.lnk C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_28.sys C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Ad.Block Pro, Shortcuts for All Google™. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. FRST uruchomiony z poziomu Tymczasowych plików internetowych: Uruchomiony z C:\Users\Netria\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6U8PT22X Pobierz ponownie FRST i zapisz na Pulpicie. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Netria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\Users\Netria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\Users\Netria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\Users\Netria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\Users\Netria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\Users\Netria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-975397881-311121922-3298233510-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Task: {41C5C6AE-0848-435F-889B-2D6EF5FFF5CA} - System32\Tasks\{28F55E72-5DFA-4B99-BA1C-4CE9A7C3F1E1} => C:\Users\Netria\Desktop\BESTplayer.exe Task: {A865E466-49B2-4793-9615-B34A731E578C} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\nWdMn RemoveDirectory: C:\ProgramData\vWdMv RemoveDirectory: C:\Users\Netria\AppData\Roaming\TSv RemoveDirectory: C:\Users\Netria\AppData\Roaming\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Netria\Downloads\sh-remover.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Kolejna porcja zadań: 1. W ogóle nie wykonałeś tego: Wszystko do zrobienia. 2. Poprawki, w tym na dużo pustych skrótów w Shortcut.txt po odinstalowanych programach - nie zdążyłam zedytować poprzedniego posta (już go czytałeś). Otwórz Notatnik i wklej w nim: Task: {79C136EC-F880-446B-AF36-5B3DB36FFEE8} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\client32 => ""="Service" DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Dj Tedex Studio^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^GameRanger.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR12 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Chew7Hale DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CyberGhost DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Overwolf DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify Web Helper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\STCAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZyngaGamesAgent RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files (x86)\Splashtop RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Composite 2012 64-bit RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecraft Pingwin Pack 4 - Ultimate RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecrat Pingwin Pack 3 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.0 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spintires RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Silent Hunter 4 Wolves of the Pacific RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VAG-COM RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XAMPP 1.8.1-0 RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Microsoft\Windows\GameExplorer\{30EB24E2-3E10-4AC8-ACBC-BD3E6FDFFCDB} RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Microsoft\Windows\GameExplorer\{96A5E561-C547-4ABA-B8CE-65CCAF8AC644} RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Microsoft\Windows\GameExplorer\{9F7CB3EF-A325-4BE5-B7DD-B7E0F1AD8298} RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Microsoft\Windows\GameExplorer\{E3B650DB-0488-465B-A8A1-94A328B5A734} RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Splashtop RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft RemoveDirectory: C:\Users\Dj Tedex Studio\Desktop\Programy\Tor Browser RemoveDirectory: C:\Windows\msdownld.tmp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\What's new.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\NVIDIA Photoshop Plug-ins 64 bit\License.lnk C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor (Beta).lnk C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor (Beta) (1).lnk C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rigs of Rods 0.38.67\Multiplayer Server.lnk C:\Users\Dj Tedex Studio\Desktop\VAG-COM Release 409-1.lnk C:\Users\Dj Tedex Studio\Desktop\chewlog.txt C:\Users\Dj Tedex Studio\Desktop\Gry\Car Mechanic Simulator 2014.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Car Mechanic Simulator 2015.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Construction Machines 2014 - Settings.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Construction Simulator 2015.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Feuerwehr- Simulator 2010.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Ghostbusters The Video Game.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Minecraft.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Play Construction Machines 2014.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Portal 2.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\SpinTires Tech Demo (June 040613).lnk C:\Users\Dj Tedex Studio\Desktop\Gry\SpinTires Tech Demo (May 13).lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Spintires.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\SuperMeatBoy.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Symulator autobusów i tramwajów.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Symulator Policji.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\The Sims 2 Ultimate Collection.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Tony Hawk's Underground 2.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\War Thunder.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\WarThunder.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Watch_Dogs - Deluxe Edition.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\csportable\root\cstrike\models\*.mdl.lnk C:\Users\Dj Tedex Studio\Desktop\Inne\DisplayFusion.lnk C:\Users\Dj Tedex Studio\Desktop\Inne\Minecraft Pingwin Pack 4 - Ultimate.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\CyberGhost 5.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Dropbox.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Fraps.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\GameRanger.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Launch GameShadow.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\McAfee Security Scan Plus.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Minecrat Pingwin Pack 3.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\ModPack by DjVirusPL FULL 0.9.0 v5.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Oracle VM VirtualBox.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\PDF Editor 3.3.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Sizer.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Speccy.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Spotify.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\SumRando.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\TeamViewer 8.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Uaktywnij Splashtop Connect.lnk C:\Users\Dj Tedex Studio\Downloads\Chew7.rar C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\pss\GameRanger.lnk.Startup Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. 3. Skoryguj poniższy skrót: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Fallout 4\Fallout 4.lnk -> D:\Games\Fallout 4\Fallout4Launcher.exe.exe (Brak pliku) Prawoklik na plik Fallout 4.lnk i popraw w ścieżce pliku Fallout4Launcher.exe.exe na Fallout4Launcher.exe 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko zrobione. Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj najnowsze wersje Adobe. Do aktualizacji też systemowy Internet Explorer, nawet jeśli z niego nie korzystasz wcale. Linki podane również w w/w temacie. 4. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Hmmm, są tu jakieś problemy. Katalog C:\Program Files\Bonjour tylko zaplanowany do usunięcia i nie ma śladów by ta akcja odbyła się podczas restartu. To dokończę potem. Na dodatek komenda resetu ustawień Zapory Windows zwróciła dziwny błąd. Poproszę o weryfikację poprawności plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

DelFix wykonał robotę. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Można wspomóc mój serwer przesyłając dotację. Link w mojej sygnaturze. Z góry dzięki za ewentualne wsparcie mojej działalności. Temat rozwiązany. Zamykam.

Niepełny zestaw obowiązkowych logów, brakuje plików FRST Addition + Shortcut. Wróć do konfiguracji i dostarcz brakujące raporty: KLIK.

Proszę przeczytać zasady działu i dostarczyć obowiązkowe logi: KLIK.

Jest tu więcej obiektów adware, nie tylko tytułowy hijacker. Poza tym, widzę liczne próby crackowania Windows, w tym pobrany i uruchomiony crack aktywacji Chew7.exe - stanowczo odradzam, ten crack obniża wydajność systemu, 100% CPU i zamulenie. Działania do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Adobe AIR, Game Booster 3, Google Talk Plugin (już nie działa), Java 7 Update 65 (64-bit), Java 8 Update 25, Java SE Development Kit 7 Update 21 (64-bit), Splashtop Connect for Firefox oraz YTD Video Downloader 4.8.5 (adware w instalatorze). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {3c836676-f0ac-4921-b55a-03cfbf37b751}Gw64; C:\Windows\System32\drivers\{3c836676-f0ac-4921-b55a-03cfbf37b751}Gw64.sys [48784 2015-12-14] (StdLib) GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Far Cry 4\Play Far Cry 4.lnk -> C:\Program Files (x86)\R.G. Mechanics\Far Cry 4\bin\Launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Euro Truck Simulator 2 Multiplayer\Play Euro Truck Simulator 2 Multiplayer.lnk -> C:\Program Files (x86)\Euro Truck Simulator 2 Multiplayer\launcher.exe (ETS2MP Team) -> hxxp://www.omniboxes.com/?type=sc&ts=1449068806&z=87dfdda7c4feb5523185062g2zez0t8eeqbb1tfo1c&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Build and Shoot\Build and Shoot Launcher.lnk -> C:\Program Files (x86)\Build and Shoot\Launcher.exe (Buld Then Snip, LLC) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Mafia II\Mafia II Launcher.lnk -> C:\Program Files (x86)\2K Games\Mafia II\launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\Desktop\Build and Shoot Launcher.lnk -> C:\Program Files (x86)\Build and Shoot\Launcher.exe (Buld Then Snip, LLC) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\Desktop\Launcher GTA 5.lnk -> C:\Program Files (x86)\Grand.Theft.Auto.V.Full.Unlocked.PL\Launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor (Beta) (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor (Beta).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447153778&z=db35596b99f362ac8b52790g0z9z4m3g9wbcfbem9o&from=wpm07163&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 ShortcutWithArgument: C:\Users\Public\Desktop\Play Euro Truck Simulator 2 Multiplayer.lnk -> C:\Program Files (x86)\Euro Truck Simulator 2 Multiplayer\launcher.exe (ETS2MP Team) -> hxxp://www.omniboxes.com/?type=sc&ts=1449068806&z=87dfdda7c4feb5523185062g2zez0t8eeqbb1tfo1c&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms} HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms} HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1447153778&z=db35596b99f362ac8b52790g0z9z4m3g9wbcfbem9o&from=wpm07163&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1447153778&z=db35596b99f362ac8b52790g0z9z4m3g9wbcfbem9o&from=wpm07163&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824410&z=99b8814b78ab49c954bbf57gfz4zetdbcodz0wfc7w&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-2930414122-1855830695-2752083529-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2930414122-1855830695-2752083529-1000 -> {14CBE3D7-E6F2-42cb-B35B-4601B9C19C73} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A7941509802&ie=UTF-8&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A7941509802&q={searchTerms} SearchScopes: HKU\S-1-5-21-2930414122-1855830695-2752083529-1000 -> {4F921B95-F030-46e5-9987-6B55CE38B167} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM-x32\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a1}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a1} FF HKLM-x32\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a0}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a0} FF HKLM-x32\...\Firefox\Extensions: [{d9284e50-81fc-11da-a72b-0800200c9a66}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{d9284e50-81fc-11da-a72b-0800200c9a66} FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\shortcutff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\detgdp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\Firefox\Profiles\yxzu8or9.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2015-01-02] CHR HKLM-x32\...\Chrome\Extension: [ainbkicbloikcngphmjfpjdemblcojdd] - C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Extensions\slidebar.crx [2014-06-12] CHR HKLM-x32\...\Chrome\Extension: [jbolfgndggfhhpbnkgnpjkfhinclbigj] - C:\Program Files (x86)\Freemake\Freemake Video Converter\BrowserPlugin\Chrome\Freemake.Plugin.Chrome.crx [2013-08-13] CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2015-01-02] CHR HKLM-x32\...\Chrome\Extension: [ogfjmhfnldnajmfaofeiaepghjenbgjo] - C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Extensions\ep.crx [2014-06-12] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1449826924&z=0bcd5caf318c7322035a778gezdzdtfb3obm7e8w1g&from=ient07021&uid=ST31000524AS_6VPBM7P4XXXX6VPBM7P4 HKLM-x32\...\Run: [sTCAgent] => "C:\Program Files (x86)\Splashtop\Splashtop Connect IE\STCAgent.exe" HKU\S-1-5-21-2930414122-1855830695-2752083529-1000\...\Run: [AdobeBridge] => [X] Task: {130D1301-96A3-4D17-A528-8092523B4987} - System32\Tasks\{C00D2CFA-EE97-4361-8ADB-EB19ECB8E45E} => pcalua.exe -a "C:\Users\Dj Tedex Studio\Downloads\Firefox Setup 21.0.exe" -d "C:\Users\Dj Tedex Studio\Downloads" Task: {37EA448C-A1C0-437A-9AE5-409736CDF502} - System32\Tasks\{2C207403-6223-4676-9E36-568B578F57DA} => pcalua.exe -a D:\10\setup_farming_simulator_2013_titanium_addon_v10.exe -d D:\10 Task: {682521E1-A6D5-4AC5-A2C3-D5DA0AC81F76} - \DealPlyUpdate -> Brak pliku Task: {7CDB358D-2735-4A47-A295-545E59E4659F} - \DealPly -> Brak pliku Task: {D0366878-223E-4BDA-96FB-B4CF4977C571} - System32\Tasks\{6C03D594-89EA-4BBA-B6E4-388707CB7D70} => pcalua.exe -a E:\SilentHunter4_NSS.exe -d E:\ Task: {E40101CE-9789-4296-AA75-21E32D846FF1} - System32\Tasks\FoxTab => C:\Users\DJTEDE~1\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\FoxTab.job => C:\Users\DJTEDE~1\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Opera N Saturday.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera N Sunday.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera N.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera scheduled Autoupdate 1435572889.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Software Removal Tool logs upload retry.job => C:\Users\Dj Tedex Studio\AppData\Local\Temp\C1D6.exe S4 aswSP; Brak ImagePath S3 AndnetBus; system32\DRIVERS\lgandnetbus64.sys [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\McAfee Security Scan RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla\plugins RemoveDirectory: C:\Users\Dj Tedex Studio\Desktop\FRST-OlderVersion C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Dj\servers.dat C:\Users\Dj Tedex Studio\AppData\Local\ACCCx2_4_1_351.zip.aamdownload C:\Users\Dj Tedex Studio\AppData\Local\ACCCx2_4_1_351.zip.aamdownload.aamd C:\Users\Dj Tedex Studio\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Dj Tedex Studio\AppData\Roaming\Uninstal.exe C:\Windows\system32\cwlog.dtl C:\Windows\system32\hale.exe C:\Windows\System32\sslsp105.dll C:\Windows\System32\drivers\{3c836676-f0ac-4921-b55a-03cfbf37b751}Gw64.sys C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\sslsp105.dll CMD: netsh advfirewall reset CMD: netsh winsock reset CMD: type C:\Windows\System32\Tasks\SidebarExecute File: C:\Windows\system32\winlogon.exe Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Twojanuta.pl (ten serwis to reinkarnacja Pobieraczka-naciągacza). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Opera: Odłącz synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Filter Results, High Stairs. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brakuje głównego nowego skanu FRST.txt. Uzupenij.

Problemów jest o wiele więcej więcej, nie tylko przekierowania tytułowe: - Infekcja DNS, ustawione izraelskie DNS 199.203.131.145 - 82.163.143.167. - Zainfekowane moduły DLL Google Chrome, cała przeglądarka wymaga reinstalacji od zera. - Niepoprawnie odinstalowany zaśmiecony adware Firefox. Działania do przeprowadzenia: 1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Odinstaluj: - Adware: Picexa, WinZipper. - Stare wersje i zbędniki: Adobe AIR, Adobe Shockwave Player 12.1, Gadu-Gadu 10, HP Deskjet 3520 series — badanie mające na celu poprawę produktów, Java 8 Update 31 (64-bit), Java 8 Update 31, Java 8 Update 45 (64-bit), Java SE Development Kit 8 Update 45 (64-bit), Splashtop Connect IE. 3. Akcje tyczące Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Nie instaluj na razie nowej wersji Chrome, bo skrypt poniżej będzie doczyszczał elementy Google. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicyUsers\S-1-5-21-74317436-289575424-2793545732-1004\User: Ograniczenia GroupPolicyUsers\S-1-5-21-74317436-289575424-2793545732-1003\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449070826&z=3e0652d099aefd4070864dag7z9z0tee6m9e9baoab&from=ient07021&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG ShortcutWithArgument: C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449070826&z=3e0652d099aefd4070864dag7z9z0tee6m9e9baoab&from=ient07021&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG ShortcutWithArgument: C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449070826&z=3e0652d099aefd4070864dag7z9z0tee6m9e9baoab&from=ient07021&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447228033&z=3e6f03e8de92d5ddb4f2578g9z4zam4o9obbfe0m8w&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447228033&z=3e6f03e8de92d5ddb4f2578g9z4zam4o9obbfe0m8w&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447228033&z=3e6f03e8de92d5ddb4f2578g9z4zam4o9obbfe0m8w&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG&q={searchTerms} HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1445846513&from=mych123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t HKU\S-1-5-21-74317436-289575424-2793545732-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447228033&z=3e6f03e8de92d5ddb4f2578g9z4zam4o9obbfe0m8w&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG&q={searchTerms} URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445846513&from=zzgbkk123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445846513&from=zzgbkk123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t&q={searchTerms} SearchScopes: HKLM-x32 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = ${SEARCH_URL}{searchTerms} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1000 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445846513&from=zzgbkk123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t&q={searchTerms} SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445846513&from=zzgbkk123&uid=st31000524as_6vped1vgxxxx6vped1vg&z=d45a88d1f69fcf52b86bc18g0zbzeweb8z5qcw5z5t&q={searchTerms} Toolbar: HKU\S-1-5-21-74317436-289575424-2793545732-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1450112037&z=b087b853da6a7e27a0eae5cg2z3wfeeg9g5o4e4cam&from=wpm07173&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG HKLM-x32\...\Run: [brMfcWnd] => C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN Task: {0314D8C7-59AF-4D85-9B18-E31E170E9778} - System32\Tasks\{E8580B0F-B0A8-4355-BDB2-A16B1A759468} => D:\Program Files (x86)\Counter Strike are 1.6\cstrike.exe Task: {04076DDB-F07E-4320-95EB-7F719C3517FD} - System32\Tasks\{B05C607C-7835-4B16-AFD6-937A4F5B9413} => D:\Program Files (x86)\skoki\Install.exe Task: {070532F8-641C-4A61-BC06-C8A755E4EE42} - System32\Tasks\{E972F878-8B27-4B1A-A62E-E81ECDEA597A} => pcalua.exe -a E:\paperport\InstPPSE.exe -d E:\paperport Task: {15AE09DC-7798-49EE-9B35-31AF75EE6BEF} - System32\Tasks\{9BF1FCB8-2394-4331-9410-A73D5E7F3335} => D:\dsj\DSJ.EXE Task: {16631207-1D6F-42BD-A383-4A1D332EE319} - System32\Tasks\{FC66398B-4959-42A4-BDD8-863A21EB1015} => D:\Program Files (x86)\skoki\Install.exe Task: {2A21855D-7662-444F-8E2E-8B7966C4533E} - System32\Tasks\{3AAEC18C-6E26-4914-82C7-3DF06B3EE662} => E:\autorun.exe Task: {2C18AA01-2FA3-4F68-9357-1CE3CF3512E5} - System32\Tasks\{378C477E-0F97-4A57-821C-B3B1032D75D1} => pcalua.exe -a "C:\Program Files (x86)\v9Soft\v9fft.exe" -c -uninstall -oem=fft -app=formatfactory -nation=pl Task: {3411DAB2-87CF-4C21-929A-90D864CC34C1} - System32\Tasks\{A9D1FB14-89BC-479F-B704-7488B6DF76F3} => D:\dsj\DSJ.EXE Task: {34D897AB-8B74-41A3-87FC-5356F403F66B} - System32\Tasks\{EBE08CB6-3E9D-419D-96BD-2FBD1C7442D8} => pcalua.exe -a E:\Install.exe -d E:\ Task: {3AC88106-4BD5-4FFD-A93D-CE9A189659E9} - System32\Tasks\{2FB6DA96-BD64-427A-8451-C07BD26EE6A4} => D:\dsj\DSJ.EXE Task: {3C5BA84D-7337-440C-A97A-099929E28F91} - System32\Tasks\{18A9217D-A84E-45F4-959F-99DB6FCEF21A} => pcalua.exe -a H:\Install.exe -d H:\ Task: {3CE9F55A-635C-4128-A09E-ADE4805F3D06} - System32\Tasks\{7520C830-0756-4B38-8A10-83F3DE30B28B} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{A3FEC306-FBFF-4B0D-95B9-F9C67C65079E}\Setup.exe" -c -runfromtemp -l0x0015 Brunin03.dll -removeonly Task: {3F636CB0-5D10-487D-A08C-008C0E4961A9} - System32\Tasks\{0A194A44-D101-498E-BF06-A438E8FC9020} => pcalua.exe -a C:\Users\AREK\Downloads\GameRangerSetup.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {45ED3FCE-B768-4B81-AA32-97C572FF8480} - System32\Tasks\{DC03A7FA-9E05-4B65-8DCD-1E4D22A03037} => D:\Program Files (x86)\skoki\Install.exe Task: {46106FDF-0597-430C-B9CC-238CDE4A73ED} - System32\Tasks\{B1F94D21-0530-466E-BC65-1900E288DCD9} => D:\cod\Call of Duty 4 - Modern Warfare\iw3mp.exe Task: {4A8D2CF7-4D78-41D3-B888-ECA386330065} - System32\Tasks\{868DD70B-A316-40BA-913F-576201D499A5} => pcalua.exe -a C:\Users\AREK\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cor Task: {4F16EA1F-5D86-4523-A992-EA6B3D82C2A3} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe Task: {588CF0A9-DA89-4A4F-A302-D2CB0A18FFE6} - System32\Tasks\{643B7729-871E-41D4-AF47-8D1C2290DF6D} => D:\dsj\DSJ.EXE Task: {5A2F8DC3-FC04-4E7B-86EC-BD5C19522CA8} - System32\Tasks\{F216331C-60C2-410B-8FB4-C7D4B171DC8F} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {7443653A-1E3A-42E2-BCB5-8293DAF12F59} - System32\Tasks\{AA8AF25B-DC69-4505-A909-522D7CED1898} => pcalua.exe -a C:\Users\AREK\Desktop\Setup.exe -d C:\Users\AREK\Desktop Task: {7669AB9C-962D-41EE-9B7B-1BE128D3AEB5} - System32\Tasks\{E0C22C2E-08EC-4985-8EC4-C67C4FF71289} => pcalua.exe -a "D:\Program Files (x86)\Valve\Half-Life\unins000.exe" -d "D:\Program Files (x86)\Valve\Half-Life" Task: {8DAACDE8-5BDB-4C31-B5FD-8EE7F3FFB7CB} - System32\Tasks\{CF50A3A1-4B9F-4F58-B99A-9D0CF08D2DFF} => D:\dsj\DSJ.EXE Task: {97C99D23-F6D1-403D-965A-87796DE5BCE3} - System32\Tasks\{831E4B86-D797-4273-AE97-0B374AD6B89F} => D:\Program Files (x86)\Valve\Portal 2\portal2.exe Task: {995BD2A0-3A85-4096-AA06-8BF917306822} - System32\Tasks\{0A41FD80-DDF3-418E-A442-53C384B450E5} => pcalua.exe -a E:\Software\setupstb.exe -d E:\Software Task: {A40BE4EC-676D-41E4-979B-85264CE8669E} - System32\Tasks\AdobeFlashPlayerUpdate => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe Task: {A6666230-BDE3-49D0-8DC7-C1D182C97EDB} - System32\Tasks\{EA150D06-6F0E-468B-B240-836059192BCB} => D:\Program Files (x86)\Valve\Portal 2\portal2.exe Task: {B375652B-3AD9-45D4-AC9D-534862BDDEA2} - System32\Tasks\{408F698A-A592-49FE-8912-135FA4325380} => E:\Software\setup.exe Task: {E42239ED-7781-4099-AC0D-DE8F650361FD} - System32\Tasks\{F4A005F0-7DF0-4F93-82E2-90B7863384BB} => pcalua.exe -a C:\Windows\UnGins.exe -c "C:\Program Files (x86)\HEROES3\BLADE\install.log" Task: {F11D7B96-429D-440C-9549-57E80F0B12DA} - System32\Tasks\{669BC943-BC4C-48F8-9888-2412F0532C27} => D:\dsj\DSJ.EXE Task: {F2A2DF2B-55E3-41CD-805A-C2AAE229CC0D} - System32\Tasks\StPrsSW => C:\Users\AREK\AppData\Roaming\StPrsSW\stprss.exe [2015-01-17] () Task: {F8455814-E176-41A5-AD6C-B7A267D72978} - System32\Tasks\{8E9BF6EB-1185-4817-8AD8-2DE58E55EB45} => E:\Software\setup.exe Task: {F8642D35-92FA-4605-B9BD-49D20E31C988} - System32\Tasks\{BCAB74B0-7B29-4AD3-9A09-256E087C4E2A} => D:\dsj\DSJ.EXE Task: {FA7BCFBA-3C83-4AC4-868D-1685FCF2DB50} - System32\Tasks\{BBF0ED91-78A1-475F-AD96-F86545949361} => D:\dsj\DSJ.EXE Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 FXDrv32; \??\E:\FXDrv64.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] S3 wanatw; system32\DRIVERS\wanatw64.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files (x86)\Avant Downloader RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\LighterModule RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\Picexa RemoveDirectory: C:\Program Files (x86)\RelayAppend RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\Smarmy Hall RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Program Files (x86)\TrimEdit RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\8WdM8 RemoveDirectory: C:\ProgramData\Boroowsee2save RemoveDirectory: C:\ProgramData\cWMiniProc RemoveDirectory: C:\ProgramData\DWdsManProD RemoveDirectory: C:\ProgramData\HWdMH RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\vWMiniProv RemoveDirectory: C:\ProgramData\ZWMiniProZ RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CF Toolbox RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dziel. i łącz. plików RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fizzy RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Jazz Jackrabbit 2 Secret Files RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic PL RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes III RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JoWood RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Maxis RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mega Patch PL 12 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Overgrowth RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 2 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Valve RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Xfire RemoveDirectory: C:\Users\AREK\AppData\Local\Google RemoveDirectory: C:\Users\AREK\AppData\Local\Mozilla RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{014E8158-FCF4-4EE7-8676-CBC6B2813164} RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{18AF24C3-3DDE-431F-B9FA-EC1D6EDD519D} RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{2B10285A-3281-4C77-9BA7-3827769C2007} RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{30A84EA5-D509-47DF-BFB7-D92AC970A971} RemoveDirectory: C:\Users\AREK\AppData\Local\Microsoft\Windows\GameExplorer\{C9556353-6423-4AD8-8562-FB0DB1065CC4} RemoveDirectory: C:\Users\AREK\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\AREK\AppData\Roaming\mystartsearch RemoveDirectory: C:\Users\AREK\AppData\Roaming\Picexa Viewer RemoveDirectory: C:\Users\AREK\AppData\Roaming\StPrsSW RemoveDirectory: C:\Users\AREK\AppData\Roaming\TSv RemoveDirectory: C:\Users\AREK\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Fraps RemoveDirectory: C:\Users\Zbigniew\AppData\Local\Microsoft\Windows\GameExplorer\{638C49F0-FAC0-47A2-BD4F-34906132279E} RemoveDirectory: C:\Users\Zbigniew\AppData\Local\Microsoft\Windows\GameExplorer\{2EE4D339-220B-491C-94BC-5BEA9CA43D5C} C:\Program Files (x86)\prefs.js C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Walking Dead.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\Users\AREK\AppData\Local\{*} C:\Users\AREK\AppData\Local\Temp.dat C:\Users\AREK\AppData\LocalLow\wbk438D.tmp C:\Users\AREK\AppData\Roaming\appdataFr25.bin C:\Users\AREK\AppData\Roaming\appdataFr3.bin C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer V4.7.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer V5.0.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Xfire.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Games.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\AREK\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\AREK\Gry\Magicka.lnk C:\Users\AREK\Gry\Portal 2.lnk C:\Users\AREK\Gry\The Sims 2.lnk C:\Users\AREK\Gry\muzyka\save\ChomikBox.lnk C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ChomikBox.lnk C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Xfire.lnk C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Games.lnk C:\Users\Paulina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome*.lnk C:\Users\Paulina\Documents\My Shared Folder\Angry Birds Space.lnk C:\Users\Paulina\Documents\My Shared Folder\CF Toolbox.lnk C:\Users\Paulina\Documents\My Shared Folder\Gothic PL.lnk C:\Users\Paulina\Documents\My Shared Folder\Team Fortress Classic.lnk C:\Users\Paulina\Documents\My Shared Folder\The Sims 2.lnk C:\Users\Paulina\Documents\My Shared Folder\Uruchom grę Mafia.lnk C:\Users\Public\Desktop\Adobe Reader X.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Public\Desktop\Picexa.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Xfire.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Games.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Zbigniew\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: type C:\Windows\System32\Tasks\SidebarExecute EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Plik Fixlog.txt zawiera cały Fixlist.txt w oryginalny formatowaniu - ma to na celu być niezbitym dowodem jaki skrypt zastosował użytkownik i czy się różni od tego podanego przez kogoś (np. ktoś mógł edytować post, a user już wykonał pierwotną wersję). Tak więc to na pewno był taki skrypt z błędami użyty. To kopie zapasowe usuniętych przez HijackThis wpisów, nieprzydatne tu. Ogólnie to jest wiadome na podstawie Fixlist jakie były składowe tego malware, malware było też widoczne na liście zainstalowanych programów (należało więc zacząć od jego poprawnej deinstalacji). I jak mówię, sądzę że było więcej, tzn. jeszcze zadanie w Harmonogramie - tu wspomina użytkownik o czymś pod nazwą "NetworkAnalyserService". Niestety brak raportów FRST sprzed formatu.

Sterownik tytułowy to legalne oprogramowanie WinDivert (Windows Packet Divert). Mogą się nim posługiwać rozmaite instalacje, poprawne oraz adware/malware (w Twoim przypadku Shell&ServicesEngine 3.0.3), więc sterownik nie będzie klasyfikowany jako szkodliwy. Nie ma logów FRST sprzed formatu, przypuszczalne tam był jeszcze jeden element w Harmonogramie zadań wcale nie połączony nazewniczo z resztą obiektów, reinstalujący śmiecia / odnawiający modyfikację, którego prawdopodobnie nie zauważyłeś. I po formacie nie ma czego szukać w raportach. To nie jest wirus, który się przenosi. PS. A co to tego Fixlist, to głupoty tam wstawiłeś. Wejścia deinstalacyjne (w Twoim przypadku Shell&ServicesEngine 3.0.3) oraz błędy z Dziennika zdarzeń są nieprzetwarzalne w skryptach, a to były poprawne komponenty aplikacji Skype Messaging: C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\SkypeHost.exe 2015-11-30 19:04 - 2015-11-30 19:05 - 00144384 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\SkypeHost.exe 2015-11-30 19:04 - 2015-11-30 19:05 - 00152064 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\SkypeBackgroundTasks.dll 2015-11-30 19:04 - 2015-11-30 19:05 - 18906624 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\SkyWrap.dll 2015-11-30 19:04 - 2015-11-30 19:04 - 02907648 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\MessagingNativeCore.dll 2015-11-30 19:04 - 2015-11-30 19:04 - 00583168 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\MessagingEntityExtractionProxy.dll 2015-11-30 19:04 - 2015-11-30 19:04 - 01302528 _____ () C:\Program Files\WindowsApps\Microsoft.Messaging_1.11.19004.0_x86__8wekyb3d8bbwe\MessagingNativeBase.dll I zapomnij o HijackThis - to jest od lat nieaktualizowany niesprawny 32-bitowy program kompletnie niezgodny z systemem 64-bitowym. Nie widzi natywnie 64-bitowej części i pokazuje głupoty (fałszywe "file is missing"), "naprawa" tych wpisów może uszkodzić system. Odinstaluj też Spybot - Search & Destroy, program przestarzały konstrukcyjnie i mało na czasie, MBAM jest o wiele lepszy w tej materii.