picasso

Ostatnia poprawka Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Conduit DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Classes\pokki DeleteKey: HKLM\SOFTWARE\Wow6432Node\Conduit DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartpageingSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Martyna\AppData\Roaming\istartsurf Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Teraz mam jasny obraz sytuacji. Fix FRST w pierwszym podejściu wszystko wykonał. Możemy się zająć poprawkami: 1. Otwórz Notatnik i wklej w nim: Tcpip\Parameters: [NameServer] 199.203.131.145 82.163.143.167 HKU\S-1-5-21-1547161642-1078081533-725345543-1004\...\Run: [Akamai NetSession Interface] => "C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\npDeployJava1.dll [brak pliku] S2 AntiVirMailService; "C:\Program Files\AntiVir PersonalEdition Premium\avmailc.exe" [X] S2 AntiVirScheduler; "C:\Program Files\AntiVir PersonalEdition Premium\sched.exe" [X] S2 AntiVirService; "C:\Program Files\AntiVir PersonalEdition Premium\avguard.exe" [X] S2 AVEService; "C:\Program Files\AntiVir PersonalEdition Premium\avesvc.exe" [X] R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [43584 2007-03-20] (Avira GmbH) R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28352 2007-03-01] (Avira GmbH) S1 avgio; \??\C:\Program Files\AntiVir PersonalEdition Premium\avgio.sys [X] S3 avgntflt; \??\C:\Program Files\AntiVir PersonalEdition Premium\avgntflt.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C:^Documents and Settings^radeczek^Menu Start^Programy^Autostart^LoveROMs_Pokemon - Leaf Green Version (U) (V1.1).zip.lnk C:\Documents and Settings\All Users\Dane aplikacji\{01c71119-85f6-8fd7-01c7-7111985f4466} C:\Documents and Settings\All Users\Dane aplikacji\{5df37a25-3bc0-96cc-5df3-37a253bce894} C:\Documents and Settings\All Users\Dane aplikacji\{b366fa38-6b1f-f840-b366-6fa386b1e8e1} C:\Documents and Settings\All Users\Dane aplikacji\{b59ef7de-c76e-d052-b59e-ef7dec76df7b} C:\Documents and Settings\All Users\Dane aplikacji\{fb603cff-d076-486f-fb60-03cffd07f3ff} C:\Documents and Settings\All Users\Dane aplikacji\744145b50000185d C:\Documents and Settings\All Users\Dane aplikacji\9634555400007072 C:\Documents and Settings\All Users\Dane aplikacji\Block The Ads C:\Documents and Settings\All Users\Dane aplikacji\McAfee C:\Documents and Settings\All Users\Dane aplikacji\update C:\Documents and Settings\All Users\Menu Start\Programy\ff42i15r14e33f26o83x.lnk C:\Documents and Settings\radeczek\Dane aplikacji\Shortcut C:\Documents and Settings\radeczek\Dane aplikacji\sweet-page C:\Documents and Settings\radeczek\Dane aplikacji\yiffalicious C:\Documents and Settings\radeczek\Ustawienia lokalne\Temp-log.txt C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Yandex C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Yiffalicious crew C:\Program Files\Java C:\Program Files\McAfee C:\Program Files\Opera C:\Program Files\SkanerOnline C:\WINDOWS\pss\LoveROMs_Pokemon - Leaf Green Version (U) (V1.1).zip.lnkStartup C:\WINDOWS\system32\pl.html C:\WINDOWS\System32\DRIVERS\avipbb.sys C:\WINDOWS\System32\DRIVERS\ssmdrv.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. 2. Deinstalacja Avira nie była zbyt "czysta". Popraw jeszcze narzędziem Avira Registry Cleaner. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Przypominam, by poprawić datę komputera, by logi powstały w poprawnym kontekście czasowym.

Trochę się pośpieszyłeś z tymi nowymi instalacjami. Takie rzeczy robi się na szarym końcu, a tu nadal czyszczenie w toku. Kolejne poprawki: Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\YahooPartnerToolbar DeleteKey: HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8FFE} DeleteKey: HKLM\SOFTWARE\Wow6432Node\dt soft\daemon tools toolbar DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\omniboxesSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9 DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{3D2C9DE6-9ADE-4252-A241-E43723B0CE02} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\ProgramData\pWdsManProp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione, problem główny rozwiązany. Kolejna porcjaczynności: 1. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. 2. Notuję tu już od początku poniższy oto odczyt. Poproszę o log z Farbar Service Scanner. mpsdrv => Usługa "Zapora systemu Windows" nie jest uruchomiona. MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona.

Wszystko wygląda elegancko. Teraz jeszcze drobne sprawdzanie: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Na podstawie zawartości folderu Temp wiadomo, że był uruchamiany świński "Asystent pobierania" portalu dobreprogramy.pl: KLIK. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\8WdM8\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Lord Lemur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT ShortcutWithArgument: C:\Users\Lord Lemur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT ShortcutWithArgument: C:\Users\Lord Lemur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT&q={searchTerms} HKU\S-1-5-21-3012261713-3946105542-649937570-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT&q={searchTerms} HKU\S-1-5-21-3012261713-3946105542-649937570-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKU\S-1-5-21-3012261713-3946105542-649937570-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKU\S-1-5-21-3012261713-3946105542-649937570-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT&q={searchTerms} SearchScopes: HKU\S-1-5-21-3012261713-3946105542-649937570-1002 -> {D1946AB6-3DF2-42A1-ACE9-F9C50D2B3454} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKLM\...\Run: [] => [X] HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-3012261713-3946105542-649937570-1002\...\MountPoints2: {b0cb83f0-d614-11e4-826a-0c54a5f2ac84} - "G:\setup.exe" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\8WdM8 RemoveDirectory: C:\Users\Lord Lemur\Desktop\Stare dane programu Firefox CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Nieudane logi z pierwszego posta usuwam, odnoszę się oczywiście do nowych. Następuje działania do wdrożenia: 1. Odinstaluj starą wersję Java SE Development Kit 7 Update 55. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Dark Orbit.lnk -> C:\Program Files (x86)\WildTangent Games\Web Link - Dark Orbit\launcher.exe (WildTangent) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Mahjongg Dark Dimensions.lnk -> C:\Program Files (x86)\WildTangent Games\Web Link - Mahjongg Dark Dimensions\launcher.exe (WildTangent) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\World of Warcraft.lnk -> C:\Program Files (x86)\WildTangent Games\Web Link - World of Warcraft\launcher.exe (WildTangent) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} HKU\S-1-5-21-3778980704-3545967183-931079211-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKU\S-1-5-21-3778980704-3545967183-931079211-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3778980704-3545967183-931079211-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} SearchScopes: HKU\S-1-5-21-3778980704-3545967183-931079211-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Halina\AppData\Roaming\Mozilla\Firefox\Profiles\h48fcbie.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Halina\AppData\Roaming\Mozilla\Firefox\Profiles\h48fcbie.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-11-09] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S Task: {C7AA5242-396C-4F30-85A7-28045E9AE9D8} - System32\Tasks\PFExe => C:\Users\Halina\AppData\Local\PriceFountain\pricefountain.exe HKLM\...\Run: [] => [X] HKLM\...\Run: [Logitech Download Assistant] => C:\Windows\system32\rundll32.exe C:\Windows\System32\LogiLDA.dll,LogiFetch HKLM-x32\...\Run: [AvgUi] => "C:\Program Files (x86)\AVG\Framework\Common\avguix.exe" /fmw.trayonly HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3778980704-3545967183-931079211-1001\...\RunOnce: [Application Restart #2] => C:\Users\Halina\AppData\Local\Pokki\Engine\HostAppService.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-cl (dane wartości zawierają 551 znaków więcej). R2 IhPul; C:\Users\Halina\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) S2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] S2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\WarThunder DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AvgUi /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AVG_UI /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset RemoveDirectory: C:\Users\Halina\AppData\Roaming\TSv RemoveDirectory: C:\Users\Halina\AppData\Roaming\WarThunder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dragons of Atlantis.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Edgeworld.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FarmVille 2.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Groupon.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\pl8.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko zrobione, a FSS nie wykazuje naruszeń w usługach. I jeszcze inne drobne poprawki: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsorowany Bing. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2728440765-1480881117-2173122078-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy CMD: del /q C:\Users\Kasia\Downloads\MicrosoftFixit50688.msi Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Wszystko zrobione, adware usunięte, dane na pendrive przywrócone do pożądanej postaci. Teraz na wszelki wypadek jeszcze: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Na 100% nie będzie tytułowego problemu w Google Chrome, bo wg Fixlog wszystko usunięte, w tym czynny proces odtwarzający modyfikację. Z tym, że podaj poprawny log FRST.txt - ten tu załączony jest ... pusty. Zrób log już po instalacji Google Chrome, by można było ocenić wygląd przeglądarki.

Dostarczone raporty FRST pochodzą sprzed usuwania, mimo że zrobione jakoby "po usuwaniu". Poproszę o zrobienie świeżych raportów FRST.txt + Addition.txt ponownie.

Drobna poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\distromatic DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{85198F55-85AC-498A-BFE4-BBC33840F4AB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\mystartsearchSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\RayDld DeleteKey: HKLM\SOFTWARE\Wow6432Node\ihpmserver DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Mal\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\Mal\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Mal\Desktop\Upload CMD: del /q C:\Users\Mal\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Poprawki: 1. Czy na pewno wcześniej zresetowałeś Google Chrome? Wykonaj to ponownie, nawet jeśli było to prowadzone. 2. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe URLSearchHook: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 - (Brak nazwy) - {08d6b0b4-c132-470d-a8e2-aa2e9c3851c9} - Brak pliku BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku= BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku Toolbar: HKU\.DEFAULT -> Brak nazwy - {08D6B0B4-C132-470D-A8E2-AA2E9C3851C9} - Brak pliku Toolbar: HKU\.DEFAULT -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku Toolbar: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 -> Brak nazwy - {08D6B0B4-C132-470D-A8E2-AA2E9C3851C9} - Brak pliku Toolbar: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 -> Brak nazwy - {30F9B915-B755-4826-820B-08FBA6BD249D} - Brak pliku Toolbar: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku FF Plugin: @java.com/DTPlugin,version=1.6.0_39 -> C:\Windows\system32\npdeployJava1.dll [2013-01-15] (Sun Microsystems, Inc.) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-12-10] () R3 ALSysIO; \??\C:\Users\Jacek\AppData\Local\Temp\ALSysIO.sys [X] DeleteKey: HKCU\Software\Conduit DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Softonic DeleteKey: HKCU\Software\Speedchecker Limited DeleteKey: HKCU\Software\StartSearch DeleteKey: HKCU\Software\torch DeleteKey: HKCU\Software\Uniblue DeleteKey: HKCU\Software\vShare.tv DeleteKey: HKCU\Software\YahooPartnerToolbar DeleteKey: HKCU\Software\AppDataLow\Software\AVG Security Toolbar DeleteKey: HKCU\Software\AppDataLow\Software\Toolbar DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2890AD95-0209-92E4-03E0-69C5D783E039} DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{57BCA5FA-5DBB-45A2-B558-1755C3F6253B} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Conduit DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\InstallCore DeleteKey: HKLM\SOFTWARE\torch DeleteKey: HKLM\SOFTWARE\Trymedia Systems DeleteKey: HKLM\SOFTWARE\Uniblue DeleteKey: HKLM\SOFTWARE\TSv DeleteKey: HKLM\SOFTWARE\yoursearchingSoftware DeleteKey: HKLM\SOFTWARE\Classes\b DeleteKey: HKLM\SOFTWARE\Classes\Conduit.Engine DeleteKey: HKLM\SOFTWARE\Classes\escort.escrtBtn.1 DeleteKey: HKLM\SOFTWARE\Classes\esrv.funmoodsESrvc DeleteKey: HKLM\SOFTWARE\Classes\Prod.cap DeleteKey: HKLM\SOFTWARE\Classes\protector_dll.protectorbho DeleteKey: HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1 DeleteKey: HKLM\SOFTWARE\Classes\Toolbar.CT3031607 DeleteKey: HKLM\SOFTWARE\Classes\AppID\esrv.EXE DeleteKey: HKLM\SOFTWARE\Classes\AppID\ScriptHelper.EXE DeleteKey: HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{BB711CB0-C70B-482E-9852-EC05EBD71DBB} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{3CCC052E-BDEE-408A-BEA7-90914EF2964B} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{61F47056-E400-43D3-AF1E-AB7DFFD4C4AD} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{07CAC314-E962-4F78-89AB-DD002F2490EE} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{13ABD093-D46F-40DF-A608-47E162EC799D} DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\88F4981A41C989480BC43B3C81A84BD458B7C0FB._service_run DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotPostWindows10UpgradeReInstall DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinampAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CCC7A320-B3CA-4199-B1A6-9F516DD69829} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Update RightSurf DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\.DEFAULT\Software\AVG Secure Search DeleteKey: HKU\.DEFAULT\Software\vShare.tv DeleteKey: HKU\.DEFAULT\Software\Winamp Toolbar DeleteKey: HKU\.DEFAULT\Software\AppDataLow\Software\AVG Security Toolbar DeleteKey: HKU\.DEFAULT\Software\AppDataLow\Software\Conduit DeleteKey: HKU\.DEFAULT\Software\AppDataLow\Software\conduitEngine DeleteKey: HKU\.DEFAULT\Software\AppDataLow\Software\PriceGong RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\AVG Security Toolbar RemoveDirectory: C:\Program Files\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\AVG Security Toolbar RemoveDirectory: C:\ProgramData\Avg_Update_0814tb RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Trymedia RemoveDirectory: C:\Users\Jacek\AppData\Local\AVG Security Toolbar RemoveDirectory: C:\Users\Jacek\AppData\Local\torch RemoveDirectory: C:\Users\Jacek\AppData\LocalLow\AVG Secure Search RemoveDirectory: C:\Users\Jacek\AppData\LocalLow\AVG Security Toolbar RemoveDirectory: C:\Users\Jacek\AppData\LocalLow\BabylonToolbar RemoveDirectory: C:\Users\Jacek\AppData\LocalLow\Conduit RemoveDirectory: C:\Users\Jacek\AppData\Roaming\Funmoods RemoveDirectory: C:\Users\Jacek\AppData\Roaming\Systweak RemoveDirectory: C:\Users\Jacek\AppData\Roaming\Uniblue RemoveDirectory: C:\Users\Jacek\AppData\Roaming\mipony RemoveDirectory: C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\ssj8qhqw.default RemoveDirectory: C:\Users\Jacek\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Jacek\Documents\Mobogenie CMD: del /q C:\Users\Jacek\daemonprocess.txt CMD: del /q C:\Users\Jacek\Downloads\SpyHunter-Installer.exe CMD: del /q C:\Windows\system32\conduitEngine.tmp CMD: del /q C:\Windows\System32\drivers\EsgScanner.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasujz Pulpitu folderu FRST + Stare dane programu Firefox. 2. Do usunięcia reszty odpadków narzędzi zastosuj DelFix. 3. I cały system do aktualizacji, stan obecny fatalny - brak SP2, IE9 i masy innych aktualizacji. Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) Język: Polski (Polska) Internet Explorer Wersja 7 (Domyślna przeglądarka: FF)

Oh, jakoś ze zmęczenia przeoczyłam, że AdwCleaner wykrył i usunął jakieś dwa pliki osobiste - czy to było coś ważnego? [-] Plik usunięto : D:\Dokumenty\Iwona i Grzesiek.doc [-] Plik usunięto : D:\Dokumenty\Iwona_uzasadnienie.pdf A DelFix nie wykazuje, by cokolwiek robił. Ale w tym przypadku, jeśli go uruchomiłeś tylko raz, to akurat dobrze się złożyło, bo na dysku ciągle jest folder C:\AdwCleaner ze skasowanymi w/w plikami dający sznsę ich odzysku. No chyba, że DelFix uruchomiono więcej niż raz...

Operacje do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj REACHit Lenovo. To przypuszczalnie była niechciana przymusowa instalacja. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Martyna\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) ShortcutWithArgument: C:\Users\Martyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH ShortcutWithArgument: C:\Users\Martyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446652810&z=718b202b9de16d61dadb4ddgez1zdq9q4w7o3w2c6w&from=cor&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} HKU\S-1-5-21-2990691196-1889282507-3086637898-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH HKU\S-1-5-21-2990691196-1889282507-3086637898-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} SearchScopes: HKU\S-1-5-21-2990691196-1889282507-3086637898-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644369&z=1c58de2ec1467e73980762ag5zaz8taq9z0z0cewez&from=ient07021&uid=WDCXWD5000LPVX-22V0TT0_WD-WXA1E940RUEH0RUEH&q={searchTerms} Task: {43BFE57B-1A61-4AFA-B93A-D19DC7EF1ABA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {EF1597A4-4ECA-402E-944B-76D8B54F456E} - System32\Tasks\BacKGroundAgent => C:\Program Files (x86)\Acer\AOP Framework\BackgroundAgent.exe HKU\S-1-5-18\...\Run: [abDocsDllLoader] => C:\Program Files (x86)\Acer\abDocs\abDocsDllLoaderMonitor.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DisableService: Orange Connection. RunOuc RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\ProgramData\7WMiniPro7 RemoveDirectory: C:\ProgramData\8WMiniPro8 RemoveDirectory: C:\ProgramData\UWdMU RemoveDirectory: C:\Users\Martyna\AppData\Local\Google RemoveDirectory: C:\Users\Martyna\AppData\Local\Lenovo RemoveDirectory: C:\Users\Martyna\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\Martyna\AppData\Roaming\TSv RemoveDirectory: C:\Windows\System32\Tasks\Lenovo CMD: del /q C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

luckyskill, proszę nie podbijaj tematu. Odpowiadam gdy jestem w stanie. Brak odpowiedzi = nie mam możliwości czasowych. Rozejrzyj się co się dzieje w dziale, a jestem jedyną osobą do pomocy. Odpowiem w Twoim temacie, gdy będę do tego zdolna. PS. Tylko od razu sprecyzuj jaka jest ścieżka do tego folderu:

Czy na pewno został wykonany wcześniej ten krok w Google Chrome: Chodziło o Opcję 2. Wprawdzie niby wpisy adware już nie były widoczne poprzednio w nowym skanie FRST, a tu raptem AdwCleaner znów je pokazuje. Wnioski: wracają z serwera Google.

Skrypty FRST są jednorazowego użytku i nie przetworzą ponownie tego samego. Co tu się działo i dlaczego Fix uruchomiony aż trzy razy?! Poproszę o najważnieszy Fixlog z pierwszego uruchomienia. Wejdź do folderu C:\FRST\Logs i wyszukaj najstarszy plik Fixlog_data_czas+txt.

Problem rozwiązany, wszystko wykonane, ale jeszcze poprawki: 1. Otwórz Notatnik i wklej w nim: S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X] S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\Program Files (x86)\SFK CMD: del /q C:\spyhunter.fix CMD: del /q C:\WINDOWS\SysWOW64\pl.html CMD: del /q C:\WINDOWS\SysWOW64\sh4native.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wprawdzie uzupełniłeś log FRST, ale przecież podany Fixlog nie pochodzi ode mnie! To jest jakiś kiepski skrypt na pół gwizdka zrobiony przez kogoś innego i ma się nijak do tego co ja zadałam. Nic nie zostało wykonane (poza Zoek) z tego co poleciłam. Powtarzaj zadania które podałam ja.

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze tematy. Wydzielone w osobny. Ponadto, niepełny zestaw obowiązkowych logów, brak FRST Shortcut. Proszę wrócić do konfiguracji i uzupełnić brak: KLIK.

Operacje do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Reader 9.1 - Polish, Java 7 Update 75, Java 8 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Zbigniew\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\ZWdMZ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S1 tcfd_vt_1_10_0_24; system32\drivers\tcfd_vt_1_10_0_24.sys [X] ShortcutWithArgument: C:\Users\Zbigniew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft WSE 3.0\WSE on the Web.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 ShortcutWithArgument: C:\Users\Zbigniew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 ShortcutWithArgument: C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 ShortcutWithArgument: C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 ShortcutWithArgument: C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 ShortcutWithArgument: C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 ShortcutWithArgument: C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1444060415&z=d8a8cb95ff410f3fb7e296cgczfz4z9e5qeeao2edm&from=cor&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447327649&z=6820463b20cf14770caee9bgcz5z5mbcao9m0qazfc&from=wpm07163&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447327649&z=6820463b20cf14770caee9bgcz5z5mbcao9m0qazfc&from=wpm07163&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449654288&z=2e5e8c2133f565e17cce9f2g9z7z1teq7w5z8ofb7w&from=ient07021&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447327649&z=6820463b20cf14770caee9bgcz5z5mbcao9m0qazfc&from=wpm07163&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447327649&z=6820463b20cf14770caee9bgcz5z5mbcao9m0qazfc&from=wpm07163&uid=WDCXWD5000BEVT-75A0RT0_WD-WXD1A90J9041J9041&q={searchTerms} HKU\S-1-5-21-783652867-2950568372-415723759-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.wp.pl={searchTerms} HKU\S-1-5-21-783652867-2950568372-415723759-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.wp.pl/ SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-783652867-2950568372-415723759-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-783652867-2950568372-415723759-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku Toolbar: HKU\S-1-5-21-783652867-2950568372-415723759-1001 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Zbigniew\AppData\Roaming\Mozilla\Firefox\Profiles\dfi2ayg4.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Zbigniew\AppData\Roaming\Mozilla\Firefox\Profiles\dfi2ayg4.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Zbigniew\AppData\Roaming\Mozilla\Firefox\Profiles\dfi2ayg4.default\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Zbigniew\AppData\Roaming\Mozilla\Firefox\Profiles\dfi2ayg4.default\extensions\yahooprotected@gmail.com => nie znaleziono Task: {F460B39B-2EE8-4FF8-A32C-8517493A9A55} - System32\Tasks\{E4427224-3079-400E-8AFA-269F2729D808} => pcalua.exe -a C:\Users\Zbigniew\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cor DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\7WdM7 RemoveDirectory: C:\ProgramData\JWMiniProJ RemoveDirectory: C:\ProgramData\WWMiniProW RemoveDirectory: C:\ProgramData\ZWdMZ RemoveDirectory: C:\Users\Zbigniew\AppData\Roaming\TSv CMD: del /q C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\*.lnk" CMD: del /q "C:\Users\Zbigniew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk" CMD: del /q "C:\Users\Zbigniew\Documents\Umowa Licencyjna.lnk" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Dzięki za Upload. Wszystkie akcje pomyślnie wykonane, problemy podstawowe rozwiązane. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.