picasso

Dostarczony log jest właściwym. Wszystko jest jasne. Zadania pomyślnie wykonane. Kończymy: 2. Usuń folder deinstalera Microsoftu C:\MATS. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Poczytaj skąd się biorą te śmieci: KLIK.

Tym razem wszystko wykonane poprawnie, infekcja usunięta. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wyniki są nadal identyczne. 1. W Google Chrome: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. - Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarki istartpageing, mkv-player.softonic.pl. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartpageingSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Po akcji zrób nowy skan AdwCleaner i przedstaw wyniki.

Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Cały system do aktualizacji. Stan obecny to brak SP1, IE11 i reszty łat: Platform: Windows 7 Ultimate (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

Posprzątałam posty. Odpowiadasz mi już w nowym poście. Operacje do wykonania: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 17, Adobe Flash Player 19, AVG Web TuneUp, Browser Configuration Utility, HP Deskjet Ink Adv 2060 K110 Badanie ulepszeń produktu, Trojan Remover 6.9.1. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Documents and Settings\Mariush\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 ShortcutWithArgument: C:\Documents and Settings\Mariush\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 ShortcutWithArgument: C:\Documents and Settings\Mariush\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 ShortcutWithArgument: C:\Documents and Settings\Mariush\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 HKU\S-1-5-21-682003330-1383384898-2147005927-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 HKU\S-1-5-21-682003330-1383384898-2147005927-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 HKU\S-1-5-21-682003330-1383384898-2147005927-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-682003330-1383384898-2147005927-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie URLSearchHook: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 - (Brak nazwy) - {D8278076-BC68-4484-9233-6E7F1628B56C} - Brak pliku URLSearchHook: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 - SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll Brak pliku SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034&q={searchTerms} SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={872B062B-ADB7-479E-9B36-1517E404A96B}&mid=4e30178cc9a747d2860ad1476893f8df-b266acc2a63888a00f59d8d888f9a94a1617c1ea&lang=en&ds=AVG&coid=avgtbavg&cmpid=0715tb&pr=fr&d=2014-11-07 19:11:37&v=4.2.3.128&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> {21BEB72E-6D29-447a-8A4C-AC817E76B870} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> {2EEB919F-7FC1-4257-AAD7-B27A2934AF4A} URL = hxxp://szukaj.gazeta.pl/portalSearch.do?s.si(navigation).navigationEnabled=true&s.sm.query={searchTerms} SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> {40641A2F-8BA0-4019-8FE8-0A5A5131F18C} URL = hxxp://www.search.ask.com/web?tpid=BTRSP-C&o=APN11818&pf=V7&p2=^BVK^YYYYYY^YY^PL&gct=sb&itbv=12.23.0.200&apn_uid=EB8FD4C2-D88D-473C-9329-398C11AFCE6B&apn_ptnrs=^BVK&apn_dtid=^YYYYYY^YY^PL&apn_dbr=ie_8.0.6001.18702&doi=2015-02-07&trgb=IE&q={searchTerms}&psv=&pt=crx SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={872B062B-ADB7-479E-9B36-1517E404A96B}&mid=4e30178cc9a747d2860ad1476893f8df-b266acc2a63888a00f59d8d888f9a94a1617c1ea&lang=en&ds=AVG&coid=avgtbavg&cmpid=0715tb&pr=fr&d=2014-11-07 19:11:37&v=4.2.3.128&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-682003330-1383384898-2147005927-1003 -> {C095F89C-54E6-46AE-B847-BE7461EBED61} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Handler: WSISVCUchrome - {78A543EB-3A61-4ED3 - Brak pliku CustomCLSID: HKU\S-1-5-21-682003330-1383384898-2147005927-1003_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\DOCUME~1\Mariush\Pulpit\BESTPL~1.EXE => Brak pliku CustomCLSID: HKU\S-1-5-21-682003330-1383384898-2147005927-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\Mariush\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll => Brak pliku FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\40.2.3\\npsitesafety.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Documents and Settings\Mariush\Dane aplikacji\Mozilla\Firefox\Profiles\4iym9x7j.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\Mariush\Dane aplikacji\Mozilla\Firefox\Profiles\4iym9x7j.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Documents and Settings\Mariush\Dane aplikacji\Mozilla\Firefox\Profiles\xznkcaq9.default-1446748911562\extensions\sidebarff@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\Mariush\Dane aplikacji\Mozilla\Firefox\Profiles\xznkcaq9.default-1446748911562\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\Mariush\Dane aplikacji\Mozilla\Firefox\Profiles\xznkcaq9.default-1446748911562\extensions\yahooprotected@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449655768&z=18f85ed3605dda7207a7a67g0z7zfteq2w9wdmez9w&from=ient07021&uid=WDCXWD5000AAKX-001CA0_WD-WCAYU858803488034 R2 IhPul; C:\Documents and Settings\Mariush\Dane aplikacji\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) S2 280f2936; "C:\WINDOWS\system32\rundll32.exe" "c:\progra~1\sw_boo~1\AssistantSvc.dll",service S2 StarWindServiceAE; C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] S3 mcdbus; system32\DRIVERS\mcdbus.sys [X] U3 agnbldn7; Brak ImagePath HKLM\...\Run: [] => [X] HKU\S-1-5-21-682003330-1383384898-2147005927-1003\...\Run: [KiesTrayAgent] => C:\Program Files\Samsung\Kies\/\KiesTrayAgent.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18UA.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe AlternateDataStreams: C:\WINDOWS:CCCE718E191E6371 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google+ Auto Backup DeleteKey: HKU\S-1-5-18\Software\MozillaPlugins RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\cWMiniProc RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\TEMP RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\ZWdMZ RemoveDirectory: C:\Documents and Settings\Mariush\Dane aplikacji\TSv RemoveDirectory: C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\Google\Chrome RemoveDirectory: C:\Program Files\mozilla firefox\browser\searchplugins RemoveDirectory: C:\Program Files\RegCleaner RemoveDirectory: C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\Mariush\Dane aplikacji\Explorer.EXE_log.txt C:\Documents and Settings\Mariush\Dane aplikacji\LiveSupport.exe_log.txt C:\Documents and Settings\Mariush\Dane aplikacji\regsvr32.exe_log.txt C:\Documents and Settings\Mariush\Pulpit\Facebook.lnk C:\Documents and Settings\Mariush\Pulpit\RegCleaner.lnk C:\Documents and Settings\Mariush\Pulpit\Nieużywane skróty pulpitu\MagicDisc.lnk C:\Documents and Settings\Mariush\Pulpit\Nieużywane skróty pulpitu\MagicISO.lnk CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

W celu "rozwiązania" problemu był tu używany skaner wątpliwej reputacji - SpyHunter. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [271464 2015-11-10] () R2 IhPul; C:\Users\Marta\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\BWdMB\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [File not signed] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-11] () ShortcutWithArgument: C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 ShortcutWithArgument: C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 ShortcutWithArgument: C:\Users\Marta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 ShortcutWithArgument: C:\Users\Marta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 ShortcutWithArgument: C:\Users\Marta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartpageing.com/web/?type=ds&ts=1447876706&z=6ad571d02e26a7c48202486gez5z0mdb3m0q0m9e2q&from=cornl&uid=st9500325as_6vem9zc8xxxx6vem9zc8&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartpageing.com/web/?type=ds&ts=1447876706&z=6ad571d02e26a7c48202486gez5z0mdb3m0q0m9e2q&from=cornl&uid=st9500325as_6vem9zc8xxxx6vem9zc8&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartpageing.com/web/?type=ds&ts=1447876706&z=6ad571d02e26a7c48202486gez5z0mdb3m0q0m9e2q&from=cornl&uid=st9500325as_6vem9zc8xxxx6vem9zc8&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartpageing.com/web/?type=ds&ts=1447876706&z=6ad571d02e26a7c48202486gez5z0mdb3m0q0m9e2q&from=cornl&uid=st9500325as_6vem9zc8xxxx6vem9zc8&q={searchTerms} HKU\S-1-5-21-3482904197-1623156157-3889320653-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8&q={searchTerms} HKU\S-1-5-21-3482904197-1623156157-3889320653-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 HKU\S-1-5-21-3482904197-1623156157-3889320653-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 HKU\S-1-5-21-3482904197-1623156157-3889320653-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8&q={searchTerms} SearchScopes: HKLM -> DefaultScope value is missing SearchScopes: HKLM-x32 -> DefaultScope value is missing SearchScopes: HKU\S-1-5-21-3482904197-1623156157-3889320653-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8&q={searchTerms} SearchScopes: HKU\S-1-5-21-3482904197-1623156157-3889320653-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447100000&z=2e7c43b976f30587ca34c17g6zdz1m3ebtet3m7g7w&from=cor&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449728859&z=74301dfbfaa301664d9695dg2z7z7t6mdobbcbew1b&from=ient07021&uid=ST9500325AS_6VEM9ZC8XXXX6VEM9ZC8 FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\cn4nbfst.default\extensions\defsearchp@gmail.com => not found FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\cn4nbfst.default\extensions\deskCutv2@gmail.com => not found FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\cn4nbfst.default\extensions\yahooprotected@gmail.com FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\cn4nbfst.default\extensions\default_newtabff@gmail.com Task: {C417ADC0-BA55-4208-98CD-EF001590B2CA} - System32\Tasks\{4E0F8A68-B219-4EEA-B730-BB9BE4D2B318} => pcalua.exe -a C:\Users\Marta\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> No File DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files\Enigma Software Group RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\BWdMB RemoveDirectory: C:\ProgramData\OWMiniProO RemoveDirectory: C:\ProgramData\Tmp0x0x RemoveDirectory: C:\Users\Marta\AppData\Roaming\Enigma Software Group RemoveDirectory: C:\Users\Marta\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\Marta\AppData\Roaming\TSv C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Marta\Desktop\Marta\Słownik niemiecki\Deutsch Translator XT.lnk C:\Users\Marta\Desktop\Marta\Słownik niemiecki\Handy Dictionary.lnk C:\Users\Marta\Desktop\II semestr\ZINTEGROWANE\kuznia\Sprawozdania z rozmów.lnk C:\Users\Marta\AppData\Roaming\Microsoft\Excel\EAW_6.12304868231595405975\EAW_6.12.xlsx.lnk C:\Windows\system32\Drivers\EsgScanner.sys CMD: type C:\Windows\System32\Tasks\{E76C58BA-3AFB-4FF5-A627-2AB20729F993} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brak widocznych oznak infekcji. Dostarcz brakujący obowiązkowy log z GMER.

Działania do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe Flash Player 10 ActiveX, Adobe Reader 9.1 - Polish, Norton Online Backup. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 0276591449913381mcinstcleanup; C:\Users\sylwia\AppData\Local\Temp\027659~1.EXE [822048 2010-03-10] (McAfee, Inc.) R2 WdMan; C:\ProgramData\XWdMX\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 mfeavfk; system32\drivers\mfeavfk.sys [X] R1 mfehidk; system32\drivers\mfehidk.sys [X] S3 mferkdk; system32\drivers\mferkdk.sys [X] S3 mfesmfk; system32\drivers\mfesmfk.sys [X] R4 MPFP; System32\Drivers\Mpfp.sys [X] ShortcutWithArgument: C:\Users\sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 ShortcutWithArgument: C:\Users\sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 ShortcutWithArgument: C:\Users\sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 ShortcutWithArgument: C:\Users\sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 ShortcutWithArgument: C:\Users\sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001&q={searchTerms} HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001 HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656464&z=ca40a968dbffafb5f813e5agdz4z0t6qfw1q1z6q9q&from=ient07021&uid=SAMSUNGXHM321HI_S26VJ9BB141001&q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości Task: {4562BF10-FCE1-4C37-BC81-6D79E3A2B834} - System32\Tasks\SUPBackground => C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\found.000 RemoveDirectory: C:\ProgramData\6WdM6 RemoveDirectory: C:\ProgramData\XWdMX RemoveDirectory: C:\Users\sylwia\AppData\Roaming\Mozilla CMD: del /q C:\Users\sylwia\Downloads\*-dp*.exe CMD: del /q C:\Users\sylwia\Downloads\*.crdownload CMD: del /q C:\Users\sylwia\Downloads\Keygen*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Zabrakło trzeciego obowiązkowego raportu FRST Shortcut. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {55685567-4840-4a91-962b-49a412e9485a}w64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys [61112 2014-05-26] (StdLib) R2 IhPul; C:\Users\Sebastian\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1448354052&z=6476c0adde7a03f3dc44b3bgbz3zdb6cfw2zeefz9q&from=ient07031&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1401222184&from=cor&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1401222184&from=cor&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} HKU\S-1-5-21-370357082-4189802998-4001306045-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1434448814&z=5fbd70c2de5467096b8e3cagczdc4zazfz2b5b2g9z&from=ient06161&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} HKU\S-1-5-21-370357082-4189802998-4001306045-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 HKU\S-1-5-21-370357082-4189802998-4001306045-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 HKU\S-1-5-21-370357082-4189802998-4001306045-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1434448814&z=5fbd70c2de5467096b8e3cagczdc4zazfz2b5b2g9z&from=ient06161&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1434448814&z=5fbd70c2de5467096b8e3cagczdc4zazfz2b5b2g9z&from=ient06161&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1434448814&z=5fbd70c2de5467096b8e3cagczdc4zazfz2b5b2g9z&from=ient06161&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} SearchScopes: HKU\S-1-5-21-370357082-4189802998-4001306045-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} SearchScopes: HKU\S-1-5-21-370357082-4189802998-4001306045-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-370357082-4189802998-4001306045-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-370357082-4189802998-4001306045-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3&q={searchTerms} SearchScopes: HKU\S-1-5-21-370357082-4189802998-4001306045-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.delta-homes.com/?type=sc&ts=1434448814&z=5fbd70c2de5467096b8e3cagczdc4zazfz2b5b2g9z&from=ient06161&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449831660&z=5cfd9c999d949ff513bd025g0zdz4tcb2ceg4q3w0z&from=ient07021&uid=ST2000DM001-1CH164_Z1F2SME3XXXXZ1F2SME3 AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => Brak pliku HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-370357082-4189802998-4001306045-1001\...\Policies\system: [DisableLockWorkstation] 0 S3 atillk64; \??\C:\Program Files (x86)\AMD\System Monitor\atillk64.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\delta-homesSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\IHProtect DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupDp DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupTab DeleteKey: HKLM\SOFTWARE\Wow6432Node\supWPM DeleteKey: HKLM\SOFTWARE\Wow6432Node\sweet-pageSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{7D3C47ED-E0BE-4940-9DDA-A7A097AEBD88} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginServices DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Wpm DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\AskPartnerNetwork DeleteKey: HKU\S-1-5-18\Software\VNT Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AdobeAAMUpdater-1.0 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v CanonMyPrinter /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v CanonSolutionMenu /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v UpdReg /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\MiuiTab RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\SupTab RemoveDirectory: C:\ProgramData\apn RemoveDirectory: C:\ProgramData\IePluginServices RemoveDirectory: C:\ProgramData\IHProtectUpDate RemoveDirectory: C:\ProgramData\WPM RemoveDirectory: C:\Users\Sebastian\AppData\Local\bcfd RemoveDirectory: C:\Users\Sebastian\AppData\Roaming\sweet-page RemoveDirectory: C:\Users\Sebastian\AppData\Roaming\TSv C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Sebastian\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Sebastian\AppData\Local\user_data.ini C:\Users\Sebastian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\pl5.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włącz ponownie ręcznie). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition i Shortcut. Dołącz też plik fixlog.txt.

Tytułowy hijacker to tylko część problemów, tu jest: o wiele więcej adware, za dużo antywirusów, dwa uszkodzone konta użytkowników (user i Michał) kierujące na katalogi "TEMP". Michał (S-1-5-21-1225892358-4206154676-1196454770-1004 - Administrator - Enabled) => C:\Users\TEMP.user-Komputer user (S-1-5-21-1225892358-4206154676-1196454770-1000 - Administrator - Enabled) => C:\Users\TEMP Operacje do przeprowadzenia: 1. W Panelu sterowania usuń oba uszkodzone konta: user i Michał. 2. Deinstalacje: - Odinstaluj: AVG 2015, AVG SafeGuard toolbar, fst_pl_132, fst_pl_136, FullScreen for GoogleMaps, HP Deskjet 3520 series — badanie mające na celu poprawę produktów, Installer, Java 8 Update 31, McAfee Security Scan Plus, Pando Media Booster, Plus-HD-V1.5, Settings Manager, WarThunder, youtubeadblocker. Jeśli czegoś nie będzie widać lub zwróci błąd po prostu kontynuuj. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Ja\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\OWdMO\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-12] () S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x86] -> C:\Program Files (x86)\Settings Manager\systemk\sysapcrt.dll HKLM\...\AppCertDlls: [x64] -> C:\Program Files (x86)\Settings Manager\systemk\x64\sysapcrt.dll HKLM-x32\...\Run: [] => [X] Startup: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[ZODIAC-TORRENT]Enemy Front pl GTX BOX Team.lnk [2015-01-19] GroupPolicy: Ograniczenia - Chrome GroupPolicyUsers\S-1-5-21-1225892358-4206154676-1196454770-1004\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {06DA7291-2C86-4190-A5F7-DEA935E8BB5A} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {1033F4D6-1EE5-4A16-8C88-58923AEC05D7} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-6 => C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-novainstaller.exe Task: {15676017-F7A5-45A1-AD74-CE78106C290B} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {1C4EC356-6268-4D74-8C82-595460A75E38} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-3 => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-3.exe Task: {26584EA1-4805-4457-9D9C-901ECE8711CD} - System32\Tasks\AVG-Secure-Search-Update_1114tb_rel => C:\Program Files (x86)\AVG Security Toolbar\AVG-Secure-Search-Update_1114tb.exe [2014-11-12] () Task: {2659261D-C668-4E22-A4C6-777626CA908C} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-1 => C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-codedownloader.exe Task: {2ABE911D-512D-4285-AADE-FD8D1126B437} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {421D7E7A-C574-4EBF-9E15-724C7B81CC76} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-5 => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-5.exe Task: {5FC657F6-7C8A-4AD6-B277-E2B59081DFE9} - System32\Tasks\24seven_savings_updating_service => C:\Program Files (x86)\24Seven savings\24seven_savings_updating_service.exe Task: {63C9CA90-8C5E-4727-B1ED-0B7D490BD8E2} - System32\Tasks\{7B401992-80A7-496C-A00C-28922201ACE6} => pcalua.exe -a "C:\Downloads\The Sims 3 - Late Night\Sims3EP03Setup.exe" -d "C:\Downloads\The Sims 3 - Late Night" Task: {65097CF6-A50B-4268-957A-825A03FAB30F} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-7 => C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-nova.exe Task: {75A3B21B-1505-4D5B-9E85-A6589282D97B} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {84372649-2937-4A56-BC95-3CBBC41F3137} - System32\Tasks\24seven_savings_notification_service => C:\Program Files (x86)\24Seven savings\24seven_savings_notification_service.exe Task: {8CB03D6E-EFA1-480A-971C-AE1F1592DBF6} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-4 => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-4.exe Task: {8DFD487F-641C-4069-AA8E-E4C86736F1C2} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-2 => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-2.exe Task: {A9DFA9B4-3A9F-4882-9940-80C4D6129064} - System32\Tasks\{FA0E6C78-2779-4C0D-8D26-92D8C0D283D3} => pcalua.exe -a "E:\Metin2 Ravia.eu\uninstall.exe" -d "E:\Metin2 Ravia.eu" Task: {B5D5ABF0-2CEA-459B-AC2E-21ABDCBB1B9B} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {B617C728-DB21-4BFE-9E64-42565E032E46} - System32\Tasks\Open Chrome => Chrome.exe --new-window hxxp://toolbar.avg.com/almost-done?pid=safeguard&lang=pl Task: {D0D23204-06C9-44AD-9F3B-C8BF077382FF} - System32\Tasks\AVG-Secure-Search-Update_1114tb_rmv => C:\Program Files (x86)\AVG Security Toolbar\AVG-Secure-Search-Update_1114tb.exe [2014-11-12] () Task: {D2673AD9-B120-46A5-8458-04E0CD90C8D3} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-11 => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-11.exe Task: {D883BDC1-7888-48E5-9A96-D6B0810B6DCD} - System32\Tasks\{2019024D-F198-4DA7-9033-389ECD7F3641} => pcalua.exe -a "C:\Downloads\The Sims 3 - Movie Stuff\Sims3SP09Setup.exe" -d "C:\Downloads\The Sims 3 - Movie Stuff" Task: {E03EF19D-01E3-4258-A5C4-4058894A2C43} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {EF9B2BA6-DF21-4BAE-AB88-276D167B8B09} - System32\Tasks\{60E44BFB-8202-4687-955D-1776351AFC95} => Chrome.exe hxxp://ui.skype.com/ui/0/6.18.0.106/pl/abandoninstall?page=tsMain Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-1.job => C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-codedownloader.exeȹ/WHlKt /FTjVrg=task /Tslqtz='Plus-HD-V1.5' /sXvLS=59562 /sXpxq='001690' /jAErLa='0' /RsOnpaMiX='0' /gZLMO=CB509E3AE97E4CB49E9B94EF52FF7179IE /eHTOvF=43bc79ed9badaca972434e940073ba96 /UvyZbFWfj=1_34_06_10 /jNWHyHawn=1.34.6.10 /yFIPXHM=1404068259 /QGQNPkKYM=hxxp:/stats.datagenserv.com /gxkGk=hxxp:/errors.datagenserv.com /SqYoDeZx=hxxp:/js.datagenserv.com /MlWHEFwVW=ch /ZnpqwPR=hxxp:/js.clientdemocloud.com /zTlKDOn /lWWiCcsy='{asw:[1, 67108929, 0]}' /gWZbpO='hxxp:/update.datagenserv.com/ie_code_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-11.job => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-11.exe Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-2.job => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-2.exeǞ/bRXuUn /Tslqtz='Plus-HD-V1.5' /sXvLS=59562 /sXpxq='001690' /jAErLa='0' /RsOnpaMiX='0' /gZLMO=CB509E3AE97E4CB49E9B94EF52FF7179IE /eHTOvF=43bc79ed9badaca972434e940073ba96 /UvyZbFWfj=1_34_06_10 /yFIPXHM=1404068259 /QGQNPkKYM=hxxp:/stats.datagenserv.com /gxkGk=hxxp:/errors.datagenserv.com /wNQhIi=11111111-1111-1111-1111-110511951162 /MlWHEFwVW=ch /eeiRG /zTlKDOn /gWZbpO='hxxp:/update.datagenserv.com/ie_enable_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-3.job => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-3.exe Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-4.job => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-4.exeΣ/nnpqzAL /Tslqtz='Plus-HD-V1.5' /psCFJxWE C:\Program Files (x86)\Plus-HD-V1.5\59562.xpi' /sXvLS=59562 /sXpxq='001690' /jAErLa='0' /RsOnpaMiX='0' /gZLMO=CB509E3AE97E4CB49E9B94EF52FF7179IE /eHTOvF=43bc79ed9badaca972434e940073ba96 /UvyZbFWfj=1_34_06_10 /jNWHyHawn=1.34.6.10 /yFIPXHM=1404068259 /QGQNPkKYM=hxxp:/stats.datagenserv.com /gxkGk=hxxp:/errors.datagenserv.com /KHILDCqN=300 /XQgyEst=809710cc-b432-49dc-9140-7828943a0e27@84b67896-5412-4e3f-a6d3-fa7dc6e439e3.com /aiFjXgPBF=0.94 /XlPlpbW=a809710ccb43249dc91407828943a0e2784b6789654124e3fa6d3fa7dc6e439e3com59562 /hAEaKYUOo=hxxps:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/59562.rdf /HASuxAmKm='Plus-HD-V1.5' /XfoJF='Turn YouTube videos to High Definition by default' /BEgWi='Plus-HD-V1.5' /MlWHEFwVW=ch /lWWiCcsy='{asw:[1, 67108929, 0]}' /zTlKDOn /ABIwhz /nzuCxSnaK /gWZbpO='hxxp:/update.datagenserv.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-5.job => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-5.exeȆ/qEVKuN /Tslqtz='Plus-HD-V1.5' /sXvLS=59562 /sXpxq='001690' /jAErLa='0' /RsOnpaMiX='0' /gZLMO=CB509E3AE97E4CB49E9B94EF52FF7179IE /eHTOvF=43bc79ed9badaca972434e940073ba96 /UvyZbFWfj=1_34_06_10 /yFIPXHM=1404068259 /QGQNPkKYM=hxxp:/stats.datagenserv.com /gxkGk=hxxp:/errors.datagenserv.com /MMAHfXhXJ=hxxp:/ipgeoapi.com/ /Lqpjr=hxxp:/update.datagenserv.com /qPTtcuuqI=2 /QCpKW=hxxp:/logs.datagenserv.com /gWZbpO='hxxp:/update.datagenserv.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-6.job => C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-novainstaller.exeȾ/lsApTW /Tslqtz='Plus-HD-V1.5' /sXvLS=59562 /sXpxq='001690' /jAErLa='0' /RsOnpaMiX='0' /gZLMO=CB509E3AE97E4CB49E9B94EF52FF7179IE /eHTOvF=43bc79ed9badaca972434e940073ba96 /UvyZbFWfj=1_34_06_10 /jNWHyHawn=1.34.6.10 /yFIPXHM=1404068259 /QGQNPkKYM=hxxp:/stats.datagenserv.com /gxkGk=hxxp:/errors.datagenserv.com /SqYoDeZx=hxxp:/js.datagenserv.com /MlWHEFwVW=ch /EkgeIU /VtDJGirtN='nova' /ZnpqwPR=hxxp:/js.clientdemocloud.com /lWWiCcsy='{asw:[1, 67108929, 0]}' /FTjVrg=task /gWZbpO='hxxp:/update.datagenserv.com/novacode/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-7.job => C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-nova.exeȨ/Tslqtz='Plus-HD-V1.5' /sXvLS=59562 /sXpxq='001690' /jAErLa='0' /RsOnpaMiX='0' /gZLMO=CB509E3AE97E4CB49E9B94EF52FF7179IE /eHTOvF=43bc79ed9badaca972434e940073ba96 /UvyZbFWfj=1_34_06_10 /jNWHyHawn=1.34.6.10 /yFIPXHM=1404068259 /QGQNPkKYM=hxxp:/stats.datagenserv.com /gxkGk=hxxp:/errors.datagenserv.com /SqYoDeZx=hxxp:/js.datagenserv.com /MlWHEFwVW=ch /EkgeIU /VtDJGirtN='nova' /ZnpqwPR=hxxp:/js.clientdemocloud.com /lWWiCcsy='{asw:[1, 67108929, 0]}' /gWZbpO='hxxp:/update.datagenserv.com/novarun/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\24seven_savings_notification_service.job => C:\Program Files (x86)\24Seven savings\24seven_savings_notification_service.exeǫ/url='hxxp:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='24Seven savings' /appid='73143' /srcid='2913' /bic='e614c8ba626150bfa7aa2ba86d97a1a9' /verifier='1e26a50907f0891a5fb3ced7d3553ecd' /installerversion='1.50.3.10' /statsdomain='hxxp:/stats.buildomserv.com/data.gif?' /errorsdomain='hxxp:/stats.buildomserv.com/data.gif?' /monetizationdomain='hxxp:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\24seven_savings_updating_service.job => C:\Program Files (x86)\24Seven savings\24seven_savings_updating_service.exe° /campid=2913 /verid=1 /url=hxxp:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=24seven_savings_updating_service /funurl=hxxp:/stats.buildomserv.com Task: C:\Windows\Tasks\AVG-Secure-Search-Update_1114tb_rel.job => C:\Program Files (x86)\AVG Security Toolbar\AVG-Secure-Search-Update_1114tb.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_1114tb_rmv.job => C:\Program Files (x86)\AVG Security Toolbar\AVG-Secure-Search-Update_1114tb.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GS_Booster-S-576482620.job => c:\programdata\trusted publisher\gs_booster\GS_Booster.exeO/schedule /profile c:\programdata\trusted publisher\gs_booster\576482620.ini Task: C:\Windows\Tasks\Open Chrome.job => c:\program files (x86)\Google\Chrome\Application\chrome.exeF--new-window hxxp:/toolbar.avg.com/ Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1421683141&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1421683141&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1421683141&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1421683141&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} HKU\S-1-5-21-1225892358-4206154676-1196454770-1005\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} HKU\S-1-5-21-1225892358-4206154676-1196454770-1005\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 HKU\S-1-5-21-1225892358-4206154676-1196454770-1005\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 HKU\S-1-5-21-1225892358-4206154676-1196454770-1005\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1421683141&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1421683141&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13396&tm=413&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchtheglobe.info/?l=1&q={searchTerms}&pid=724&r=2015/01/19&hid=5744862335444074133&lg=EN&cc=PL SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1421683141&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13396&tm=413&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchtheglobe.info/?l=1&q={searchTerms}&pid=724&r=2015/01/19&hid=5744862335444074133&lg=EN&cc=PL SearchScopes: HKU\S-1-5-21-1225892358-4206154676-1196454770-1005 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1225892358-4206154676-1196454770-1005 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={70CAECF0-3693-45EF-A69A-19F5DCC94C51}&mid=a4bcbc0c28e047d29077d16d5b34dac6-f2fca082746ea168f1557c8024f3b2cfe154ff63&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=pr&d=2014-06-23 07:21:30&v=18.8.0.179&pid=safeguard&sg=&sap=dsp&q={searchTerms} BHO: Plus-HD-V1.5 -> {11111111-1111-1111-1111-110511951162} -> C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-bho64.dll => Brak pliku BHO: Linkey -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> C:\Users\user\AppData\Local\Linkey\IEEXTE~1\iedll64.dll => Brak pliku BHO-x32: Plus-HD-V1.5 -> {11111111-1111-1111-1111-110511951162} -> C:\Program Files (x86)\Plus-HD-V1.5\Plus-HD-V1.5-bho.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446905200&z=7b3bc11817e12f1abcfef07g1z3z7q3tfedz0tco3w&from=cornl&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Ja\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-10-11] CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Ja\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449662642&z=489f3c19b21c52e71656575g9z2z9t9qeq3o4qfz1z&from=ient07021&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF091374513745 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software C:\Program Files (x86)\Lenovo C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\BWMiniProB C:\ProgramData\5WdM5 C:\ProgramData\OWdMO C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Mafia II C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty Black Ops 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games\Need For Speed Hot Pursuit 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Enemy Front C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FREE_SOFT_TODAY C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 Ravia.eu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WEOL'14 8.0 C:\Users\Ja\AppData\Local\Lenovo C:\Users\Ja\AppData\Roaming\TSv C:\Users\Ja\AppData\Roaming\WarThunder C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\Tasks\Lenovo C:\Windows\SysWOW64\pl.html Hosts: CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Shortcuts for All Google™ (produkuje przekierowania). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt. PS. Oczywiście odpowiadasz już w nowym poście. Nie edytuj pierwszego.

Był tu uruchamiany Zoek - w jakim celu?, co było robione wcześniej? Jeśli wzorowano się na innym temacie, to błąd, instrukcje są dopasowane tylko i wyłącznie pod jeden system. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Bartosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654950&z=aa3cb2c3b1ddee72781a29dg0zaz3t1q2w2zbtew7g&from=ient07021&uid=WDCXWD7500BPKT-75PK4T0_WD-WXG1A61V7282V7282 ShortcutWithArgument: C:\Users\Bartosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654950&z=aa3cb2c3b1ddee72781a29dg0zaz3t1q2w2zbtew7g&from=ient07021&uid=WDCXWD7500BPKT-75PK4T0_WD-WXG1A61V7282V7282 ShortcutWithArgument: C:\Users\Bartosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654950&z=aa3cb2c3b1ddee72781a29dg0zaz3t1q2w2zbtew7g&from=ient07021&uid=WDCXWD7500BPKT-75PK4T0_WD-WXG1A61V7282V7282 HKU\S-1-5-21-3203632916-3027821125-1821631213-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449654950&z=aa3cb2c3b1ddee72781a29dg0zaz3t1q2w2zbtew7g&from=ient07021&uid=WDCXWD7500BPKT-75PK4T0_WD-WXG1A61V7282V7282 HKU\S-1-5-21-3203632916-3027821125-1821631213-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449654950&z=aa3cb2c3b1ddee72781a29dg0zaz3t1q2w2zbtew7g&from=ient07021&uid=WDCXWD7500BPKT-75PK4T0_WD-WXG1A61V7282V7282 SearchScopes: HKU\S-1-5-21-3203632916-3027821125-1821631213-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654950&z=aa3cb2c3b1ddee72781a29dg0zaz3t1q2w2zbtew7g&from=ient07021&uid=WDCXWD7500BPKT-75PK4T0_WD-WXG1A61V7282V7282&q={searchTerms} SearchScopes: HKU\S-1-5-21-3203632916-3027821125-1821631213-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654950&z=aa3cb2c3b1ddee72781a29dg0zaz3t1q2w2zbtew7g&from=ient07021&uid=WDCXWD7500BPKT-75PK4T0_WD-WXG1A61V7282V7282&q={searchTerms} Task: {1DEF6513-E970-46E0-ADFF-C78DB514E110} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {2A687BEE-3793-4421-980C-FF237DC2D6EB} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {53805748-49A4-484B-B383-2EC893BB8A07} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {60A9E39E-E1EA-4778-8FED-5A9321BD5A89} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {65250972-7D0F-4EF6-9CF2-B94BB24D7474} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {72F3D5FF-32B1-41CE-9977-59364788AE59} - System32\Tasks\{7D635D3B-E945-4E50-891B-413A358F28BD} => pcalua.exe -a C:\Users\Bartosz\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor Task: {7B9B0816-D16A-4994-AC3A-414D8604AAB9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {8469704E-1B87-4253-AD3F-FC1005DEB5DF} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {94E6B3C0-E4B3-4572-B715-D5C78F0E173E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {A7170B76-1273-4448-A760-C41CA5D77825} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {B46503C6-28E4-4E4F-8F4F-240BCC47ABD6} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {C1A859FC-4DC3-46DA-BE20-F54CE2F121A0} - \Lenovo\Lenovo Customer Feedback Program 64 35 -> Brak pliku Task: {DAF5CBFF-5CDB-4CB4-A302-781F9B93C519} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {DB0AE521-8B01-4583-9AEC-82E0311DF111} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe GroupPolicyUsers\S-1-5-21-3203632916-3027821125-1821631213-1007\User: Ograniczenia R3 cpuz138; C:\Users\Bartosz\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [27320 2015-12-11] (CPUID) U3 DfSdkS; Brak ImagePath S3 WsDrvInst; C:\Program Files (x86)\Wondershare\Dr.Fone for Android\DriverInstall.exe [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files\Babylon RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\aWMiniProa RemoveDirectory: C:\ProgramData\3WdM3 RemoveDirectory: C:\ProgramData\WWdMW C:\Program Files (x86)\Ashampoo C:\Program Files (x86)\DrFoneAndroid_Temp C:\Program Files (x86)\Wondershare RemoveDirectory: C:\Users\Bartosz\AppData\Local\id Software RemoveDirectory: C:\Users\Bartosz\AppData\Roaming\eCyber RemoveDirectory: C:\Users\Bartosz\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\Bartosz\AppData\Roaming\TSv RemoveDirectory: C:\Users\Bartosz\AppData\Roaming\yoursearching RemoveDirectory: C:\Users\Bartosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage RemoveDirectory: C:\WINDOWS\System32\Tasks\Lenovo C:\Users\Bartosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\openfm.lnk C:\Users\Bartosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Bartosz\Desktop\Gry\Civ V\Play Civilization V.lnk C:\Users\Bartosz\Desktop\Gry\Civ V\Team Fortress 2.lnk C:\Users\Bartosz\Desktop\Różne\Filmiki\do tworzenia\Pazera Free Audio Extractor.lnk C:\WINDOWS\SysWOW64\data.bin EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Dawid, wejdź w podany link i przeczytaj co jest napisane o aktualizacji Internet Explorer oraz co jest podane dla systemu Vista. Aktualizacja IE jest ważna, mimo że w ogóle nie korzystasz z tej przeglądarki, bo jej komponenty są i tak używane przez aplikacje posiłkujące się silnikiem IE. Podałam też, że obecnie Twój system to Vista SP1 - brakuje kupy aktualizacji: pakiet SP2 i masa innych łat (chyba kilkaset pozycji będzie). Masz do wykonania kompleksową aktualizację systemu z Windows Update. Rundy z wyszukiwaniem i instalacją aktualizacji należy powtarzać tyle razy, aż Windows Update zwróci komunikat, że brak już dostępnych aktualizacji.

Ale podany Fix FRST nadal aktualny (robiony w oparciu o najnowsze raporty, a nie stare). Przedstaw wynikowy fixlog.txt.

DigiBen, zadałam określoną kolejność, nie do robienia "na wyrywki". Najpierw miał być usunięty crack, bo w przypadku niemożności zrobienia tego (rezultat z niemożnością logowania do Windows) reszta akcji traci zasadność.

Wszystkie kopie Windows Defender są uszkodzone, a uszkodzenie wyląda na ingerencję malware (pliki mają atrybut ukryty). Podmiana plików musi się odbyć z zewnątrz, nie spod Windows, by obejść problem uprawnień Akcja: 1. Przesyłam plik Windows Defender: KLIK. Rozpakuj, folder przenieś wprost na C:\, czyli ma być dostępna taka oto ścieżka: C:\Pliki zawierająca bibliotekę MpSvc.dll. Otwórz Notatnik i wklej w nim: CMD: copy /y C:\Pliki\MpSvc.dll C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.1.7600.16385_none_579306edb982ae36\MpSvc.dll CMD: copy /y C:\Pliki\MpSvc.dll C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.1.7601.17514_none_59c41ab5b67131d0\MpSvc.dll CMD: copy /y C:\Pliki\MpSvc.dll "C:\Program Files\Windows Defender\MpSvc.dll" Plik zapisz pod nazwą fixlist.txt. Plik ten razem z FRST przenieś wprost na C:\. 2. F8 przy starcie komputera > Napraw komputer > Wiersz polecenia > uruchom zodnie z instrukcją FRST: KLIK. Kliknij w Napraw (Fix). Na C:\ powstanie fixlog.txt. 3. Zaloguj się z powrotem do Windows i przedstaw w/w log.

Potrzebuję więcej czasu na kontynuację Twojego tematu. Teraz mam taką zawieruchę w dziale, że padam na twarz i nie jestem w stanie wszystkich wątków prowadzić. Twój system jest w zadawalającym stanie. Chodzi teraz jednak o usprawnienie umożliwiające aktualizację do Windows 10. To wyląda na grubszą robotę.

Ja sądzę, że to właśnie te krakersy Cię załatwiły. A trojan został pomyślnie usunięty. Jeszcze w folderze TeamSpeak jest podejrzany folder "MSSvc", z niego były próby uruchamiania malware - sprawdziłam instalację TamSpeak i taki folder nie jest tworzony. Załączę też usuwanie opornego folderu "installer". Czyli: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\lucky\AppData\Roaming\TS3Client\MSSvc RemoveDirectory: C:\Users\lucky\Downloads\installer Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Na wszelki wypadek przeinstaluj też cały TeamSpeak 3 Client od zera, bo nie jestem w stanie stwierdzić na oko czy to wszystkie modyfikacje w tym folderze. Po deinstalacji usuń cały folder C:\Users\lucky\AppData\Roaming\TS3Client. I dopiero po tym zainstaluj od nowa. 3. Kosmetyczna sprawa w Google Chrome: Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

Przywracanie systemu odkręciło szkody po użyciu cudzego skryptu. Ale również wróciły na miejsce wcześniejsze śmieci (w tym adware). Poza tym, pojawił się jakiś nowy problem z niedziałającymi Usługami kryptograficznymi Windows. Wymagane poprawki. Czyli: 1. Te dwa programy, które nie dają się odinstalować spróbuj usunąć za pomocą Wise Program Uninstaller. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdsManPro; C:\ProgramData\8WMiniPro8\WMiniPro.exe [295424 2015-10-30] (DTools LIMITED) R2 WtuSystemSupport; C:\Program Files (x86)\AVG Web TuneUp\WtuSystemSupport.exe [620056 2015-02-26] () S2 vToolbarUpdater18.4.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.4.0\ToolbarUpdater.exe [X] ShortcutWithArgument: C:\Users\Abi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 ShortcutWithArgument: C:\Users\Abi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms} HKU\S-1-5-21-3847855972-3002420087-1142518147-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 HKU\S-1-5-21-3847855972-3002420087-1142518147-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 SearchScopes: HKU\S-1-5-21-3847855972-3002420087-1142518147-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms} SearchScopes: HKU\S-1-5-21-3847855972-3002420087-1142518147-1000 -> {4DAC8EC6-E867-4F51-83DA-FF0C89CAB1B8} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} HKU\S-1-5-21-3847855972-3002420087-1142518147-1000\...\Run: [Wondershare Helper Compact.exe] => "C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelperSetup.exe" FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\e7augnnl.default-1432884363237\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\e7augnnl.default-1432884363237\extensions\deskCutv2@gmail.com => nie znaleziono DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\SalePlus RemoveDirectory: C:\ProgramData\6WdsManPro6 RemoveDirectory: C:\ProgramData\8WMiniPro8 RemoveDirectory: C:\ProgramData\Avg_Update_0215tb RemoveDirectory: C:\ProgramData\Avg_Update_1214tb CMD: sc config CryptSvc start= auto EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Uruchom ShadowExplorer. Wybierz z menu datę 11-12-2015. Przejdź do tego folderu: C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\1x6jajd4.default-1449677413866 Skopiuj z niego folder bookmarkbackups oraz plik places.sqlite na Pulpit. Na razie tylko tyle. Będziemy to potem próbowali wstawiać do bieżącego profilu Firefoxa.

Brakuje pliku Fixlog.txt z wynikami usuwania. Plik powstał w folderze Pobrane, tam skąd był uruchamiany FRST.

Nie widzę tu nic podejrzanego w raportach FRST w kontekście opisywanego zdarzenia. Ale nie podałeś również obowiązkowego GMER. Natomiast są inne rzeczy w systemie do korekty. Jest tu zainstalowana gra Black Desert. Cytuję z innego tematu z czym to jest związane: ... przy czym u Ciebie widzę tylko usługę THORN, bez sterownika: R2 Thorn; C:\Users\Brunek\AppData\Local\THORN\Thorn.exe [56824 2015-10-01] (GGS) 2015-11-26 11:48 - 2014-08-28 10:36 - 00732160 _____ () C:\Users\Brunek\AppData\Local\THORN\libGLESv2.dll 2015-11-26 11:48 - 2014-08-28 10:41 - 00856576 _____ () C:\Users\Brunek\AppData\Local\THORN\platforms\qwindows.dll 2015-11-26 11:48 - 2014-08-28 10:36 - 00047104 _____ () C:\Users\Brunek\AppData\Local\THORN\libEGL.dll Jest też program KMPFaster (Simplitec Power Suite) wątpliwej reputacji, kojarzony z niechcianymi instalacjami metodologią "PUP". Czyli na razie inne działania: 1. Odinstaluj stare wersje i w/w delikwentów: Adobe Flash Player 11 Plugin, Adobe Reader X (10.1.3) MUI, Akamai NetSession Interface, Black Desert, KMPFaster. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Thorn; C:\Users\Brunek\AppData\Local\THORN\Thorn.exe [56824 2015-10-01] (GGS) S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] HKU\S-1-5-21-3545704842-3712530400-1413162972-1001\...\Run: [GalaxyClient] => [X] Task: {1A9414A7-457F-4234-AC5B-203902095B3D} - System32\Tasks\GameNet => C:\Program Files (x86)\QGNA\qGNA.exe C:\ProgramData\AVG C:\Users\Brunek\AppData\Local\Avg C:\Users\Brunek\AppData\Local\THORN C:\Users\Brunek\AppData\Roaming\AVG C:\Users\Brunek\Desktop\Programy\GameNet.lnk C:\Users\Brunek\Desktop\Programy\Skype.lnk Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "AO Link Server" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "CCleaner Monitoring"/ f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "GalaxyClient /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz zalegy GMER. Dołącz też plik fixlog.txt.

Zrobione. Wygląda na to, że kończymy: 1. Był tu uruchamiany GMER, więc upewnij się, że transfer dysku nie obniżył się. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Usuń pobrane skanery i ich logi z folderu G:\Instalki\Malwarebytes. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Poczytaj na co uważać, by uniknąć podobnych niespodzianek: KLIK. I wielkie dzięki za "podjęcie decyzji"!

Kończąc sprawy pierwszego komputera: 1. Usuń z Pulpitu folder frst. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Odpowiedz czy ta operacja ma jakieś skutki:

Wykonane. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Poczytaj też na co uważać: KLIK.

Kończymy: 1. Uruchom Google Chrome > Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystkie pozycje, za wyjątkiem Google. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Nie, temat oczywiście nie zostanie zamknięty. Jeśli chodzi o ten komunikat, to po prostu kliknij na nim "Tak" i doprowadź do zainstalowania Java (niezależnie od potencjalnych błędów po prostu postaraj się ukończyć ten proces). Po tym zastosuj podawany wcześniej usuwacz. A nowe logi wykażą czy były jakieś zmiany.