picasso

1. Zaprezentuj mi zrzut ekranu z miejsca które sprawdzasz w Menedżerze urządzeń. 2. DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt.

Wszystko zrobione. Kończymy: Usuń pobrane skanery i ich logi z folderu D:\downloaded. Następnie popraw jeszcze za pomocą systemu: DelFix.

Wszystko pomyślnie zrobione. Drobne poprawki potem. Teraz sprawdź czy da się wstawić wyciągnięte z kopii cieniowej zakładki do Firefoxa. Akcja: 1. Zamknij Firefox, nie może być uruchomiony. W eksploratorze Windows wklej poniższą ścieżkę i ENTER: C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\oju1uxm5.default-1449788582197 Obecne tam bookmarkbackups + places.sqlite skopiuj gdzieś w bezpieczne miejsce (np. do nowego folderu utworzonego tymczasowo na Pulpicie), następnie zastąp je tymi kopiami, które wyciągnąłeś za pomocą ShadowExplorer. 2. Uruchom Firefox. Podaj czy masz dostępne zakładki o które Ci chodziło.

Kolejne działania: 1. Uwaga na początek, powtarzasz te same błędy co poprzednio. Pojawił się poniższy plik. To śmieć "Asystent pobierania" dobrychprogramów, a nie poprawny instalator, i jedna z przyczyn wchodzenia hijackerów typu "yousites123". Więcej na ten temat: KLIK. Skasuj z Pobranych tego śmiecia. 2015-12-12 09:36 - 2015-12-12 09:36 - 00962128 _____ (Installer Soft Program ) C:\Users\MARCIN...\Downloads\CCleaner-13061-dp.exe 2. Uruchom ponownie AdwCleaner, tym razem dobierz akcje Skanuj + Usuń. Przedstaw wynikowy log. 3. W systemie jest jeszcze jedno nie sprawdzane dotąd konto fifa. Zaloguj się na nie i zrób nowy log FRST z opcji Skanuj (Scan) z Addition, Shortcut już zbędny.

AdwCleaner nic nie wykrył. Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Poczytaj na co uważać, by uniknąć problemu w przyszłości: KLIK

Zignoruj ten komunikat i zapisz mimo to. Problemem są chińskie znaki w jednym wejściu, ale w tym szczególnym przypadku one nie mają znaczenia i FRST przetworzy wejście, pomimo że znaki zostaną przekonwertowane na pytajniki.

Log FRST.txt jest pusty. Wygeneruj nowy poprawny log.

Kończymy: 1. Dokasuj z dysku ręcznie te foldery odpadkowe po odinstalowanych aplikacjach: C:\ProgramData\Ashampoo C:\ProgramData\Wondershare C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ashampoo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare C:\Users\Bartosz\.android C:\Users\Bartosz\AppData\Local\Wondershare C:\Users\Bartosz\AppData\Roaming\HMYGSetting C:\Users\Bartosz\AppData\Roaming\Wondershare C:\Users\Bartosz\AppData\Roaming\yoursearching 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Przypuszczalna droga nabycia to pobieranie z portali: KLIK. W systemie ślady użycia "Asystenta pobierania" dobrychprogramów: Shortcut: C:\Documents and Settings\User4\Pulpit\Continue WinRAR installation.lnk -> C:\Documents and Settings\User4\Ustawienia lokalne\Temp\ICReinstall_WinRAR(12398)-dp.exe (Brak pliku) I próbę ponawiano także w trakcie czyszczenia systemu, na dysku jest kolejny śmieciarski plik "Asystenta" dobrychprogramów, to nie jest poprawny instalator IE8: 2015-12-12 13:13 - 2015-12-12 13:13 - 00962128 _____ (Installer Soft Program ) C:\Documents and Settings\User4\Pulpit\Internet-Explorer-20403-dp.exe Był też używany Avenger, program zupełnie nie pasujący do zadania. Działania do wdrożenia: 1. Przez Dodaj/Usuń programy odinstaluj zbędniki: Adobe AIR, Adobe Flash Player 20 NPAPI (wersja dla FF), Adobe Flash Player 20 PPAPI (wersja dla Opera), HP Customer Participation Program 7.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\1WdM1\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Documents and Settings\User4\Pulpit\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847794&z=7824e1c30f58d648bcd9fd0g6z5z7t2bazdmematfw&from=ient07021&uid=WDCXWD2500AAKS-00L9A0_WD-WMAV2E07242072420 ShortcutWithArgument: C:\Documents and Settings\User4\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847794&z=7824e1c30f58d648bcd9fd0g6z5z7t2bazdmematfw&from=ient07021&uid=WDCXWD2500AAKS-00L9A0_WD-WMAV2E07242072420 ShortcutWithArgument: C:\Documents and Settings\User4\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847794&z=7824e1c30f58d648bcd9fd0g6z5z7t2bazdmematfw&from=ient07021&uid=WDCXWD2500AAKS-00L9A0_WD-WMAV2E07242072420 HKU\S-1-5-21-1644491937-2147184641-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847794&z=7824e1c30f58d648bcd9fd0g6z5z7t2bazdmematfw&from=ient07021&uid=WDCXWD2500AAKS-00L9A0_WD-WMAV2E07242072420 CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-04-03] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\yoursites123Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Avenger RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\1WdM1 RemoveDirectory: C:\Program Files\ghokswa Browser RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: del /q "C:\Documents and Settings\User4\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK" CMD: del /q "C:\Documents and Settings\User4\Pulpit\*-dp*.exe" CMD: del /q "C:\Documents and Settings\User4\Pulpit\Continue WinRAR installation.lnk" CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\Skrót do PEDAGOGIKA_SPECJALNA_1.pdf.lnk" CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\Menu Start\Adobe Reader X.lnk" CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\Menu Start\doc20120724122916.lnk" CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\Menu Start\Microsoft Office\target.lnk" CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\DOKUMENTY ZGRANE Z POPRZEDNIEGO KOMPA\Adobe Reader X.lnk" CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\DOKUMENTY ZGRANE Z POPRZEDNIEGO KOMPA\Kompendium Dyrektora Szkoły.lnk" CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\DOKUMENTY ZGRANE Z POPRZEDNIEGO KOMPA\michałek1.lnk" CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\DOKUMENTY ZGRANE Z POPRZEDNIEGO KOMPA\Skrót do DOKUMENTY ZGRANE Z POPRZEDNIEGO KOMPA.lnk" CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\DOKUMENTY ZGRANE Z POPRZEDNIEGO KOMPA\Skrót do oferta~1.lnk" CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\DOKUMENTY ZGRANE Z POPRZEDNIEGO KOMPA\Zdjęcia z kamery\zdjęcia\tegrys.lnk" CMD: del /q "C:\Documents and Settings\User4\Moje dokumenty\Kopia moje zdjecia\Skrót do testy2014B-setup (1).exe.lnk" CMD: del /q C:\WINDOWS\system32\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj IE8, gdyż IE6 to bardzo dziurawa wersja: KLIK. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale już bewz Shortcut. Dołącz też plik fixlog.txt.

Wszystko wykonane. Teraz pobierz najnowszy AdwCleaner. Uruchom, wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. On był wcześniej używany, ale ślady w logu wskazywały, że albo stara wersja, albo nic w nim nie zrobiono, bo niektóre foldery powinny być przez niego usunięte już wcześniej.

Wszystko pomyślnie wykonane, problem rowiązany. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Michał do usunięcia, natomiast konto Rodzice będzie wymagało przekierowania za pomocą specjalnej procedury z katalogu Temp na poprzedni katalog konta. Tym zajmę się potem. Na razie wykonaj co zadałam.

Wszystko zrobione. Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Ten Bing rzeczywiście zniknął samodzielnie Chrome. Czyli wszystko zrobione. Kończmy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. I poczytaj na co uważać: KLIK.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Aktualizacje nie likwidują plików użytkownika. A są potrzebne tu, bo system nie jest zabezpieczony. Proszę wejdź do tematu który linkowałam, tam wszystko jest zlinkowane: KLIK. Przy czym linki do SP2 i IE9 nie załatwiają tu sprawy, w związku z brakiem SP2 jest o wiele więcej aktualizacji do wykonania. Zamiast pobierać z linków po prostu uruchom Windows Update w swoim systemie i wykonaj wyszukiwanie + instalację aktualizacji. Proces powtarzasz tyle razy, aż Windows Update zwróci komunikat o braku wykrytych aktualizacji. To potrwa bardzo długo. Ostatnio aktualizowałam komuś taką Vista SP1 i trwało to ... dwa dni.

Wszystko pomyślnie wykonane. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Przejdź w Tryb awaryjny Windows i zapuść taki oto skrypt do FRST: RemoveDirectory: C:\Users\lucky\Downloads\installer Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Kończymy: 1. Zastosują DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Poczytaj na co uważać: KLIK.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\...\Run: [Clownfish] => 0 HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\...\Run: [bingSvc] => C:\Users\Michał\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-11] (© 2015 Microsoft Corporation) GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1115924686-2776352850-3644351443-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} SearchScopes: HKU\S-1-5-21-1115924686-2776352850-3644351443-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} SearchScopes: HKU\S-1-5-21-1115924686-2776352850-3644351443-1002 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY Edge HomeButtonPage: HKU\S-1-5-21-1115924686-2776352850-3644351443-1002 -> hxxp://www.mystartsearch.com/?type=hp&ts=1444924057&z=d899f6f6d39a682d6380dceg6zdz9z8t8ocz8edw7m&from=cornl&uid=wdcxwd10ezex-00bn5a0_wd-wcc3f6ne43fye43fy CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY" CHR HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx Task: {01328E16-2AF6-43F4-9BE5-3C395BF6C87F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {0E57B90D-E108-46E5-8C4F-20B9D9CFADBF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {4CFABD42-8534-4358-B5A5-4FBFFB6BABB1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {6A40F6F6-E760-4DDC-AC10-4CE1FD49BCC9} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6BF11E81-E56C-48ED-9643-71BE3A65F88D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {73A24B5C-626B-4C02-8F3E-50DEB04B5943} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {798A506F-A2F9-4597-96BA-2DBF8B1905CF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {7A55AAAB-D063-4562-8223-D8CBE4F030FD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {83CEA685-A308-4EAE-8307-E385D2FA1E28} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {B2DC40BE-3686-4BC0-A40C-A725B89F5666} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BB0D50E3-284A-4CCF-96A7-A4326EC4B8AB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {C0F40F3E-6B39-46B2-B32E-0BD2EF83E9E4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\ProgramData\31f7a620-acbd-4f84-82db-5e231b8ad5de RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Serious Sam 3 BFE RemoveDirectory: C:\Users\Michał\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Michał\AppData\Local\Microsoft\Lenovo RemoveDirectory: C:\Windows\System32\Tasks\Lenovo CMD: del /q "C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk" CMD: del /q "C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom Zoek. W oknie wklej: Metric Collection SDK 35;u Klik w Run Script. Powstanie plik zoek-results.log (zmień mu ręcznie rozszerzenie na *.txt). 3. Wyczyść przeglądarki z adware: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware Crazy Score, Jungle Net, Sale Clipper 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt + zoek-results.txt. Potwierdź, że problem ustąpił także w przeglądarce Edge.

Poprawk: 1. Powtórz tę akcję w Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\APN PIP DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sparta W2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sparta W1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sparta N DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sparta D1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sun DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sat DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder24 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\AskPartnerNetwork RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\apn RemoveDirectory: C:\Users\Grzesiek\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\Grzesiek\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Grzesiek\Desktop\y2xjljpv.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Brakuje nowego pliku głównego FRST.txt. Uzupełnij. Jeśli chodzi o Edge, to modyfikacja jest poza widocznością raportów. Wykonaj reset ustawień za pomocą skryptu FRST. Tzn.: 1. Zamkij przeglądarkę. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom przeglądarkę ponownie i potwierdź, że śmieci się nie uruchamiają. Poza tym, na wszelki wypadek podaj mi jeszcze szukanie w rejestrze. Uruchom FRST, w polu Szukaj wklep yoursites123, klik w Szukaj w rejestrze i dostarcz wynikowy log.

Fix wykonany pomyślnie. Bing był poprzednio widoczny w raporcie FRST, za to nie było Adguard. Być może Bing samoczynnie zniknął. Na wszelki wypadek zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Skrypty są jednorazowego użytku. Fix był uruchamiany dwa razy. Podany tu Fixlog nie jest właściwym, pochodzi z drugiego uruchomienia, skrypt nie wykona ponownie rzeczy już przetworzonych w pierwszym podejściu. Ale zostaw już ten wątek. Po raportach głównych FRST można stwierdzić, że wszystko zrobione. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystko zgodnie z planem, hijacker usunięty. Poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WarThunder Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.