picasso

Co konkretnie robiłeś w międzyczasie? Jest zasadnicza różnica między poprzednimi logami, a nowymi. Zniknęły tytułowe przekierowania. Czyli tylko kosmetyczne działania: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\Users\Ewa_Rafał\AppData\Roaming\IEDJ C:\Users\Ewa_Rafał\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.

Wszystko wykonane. Będą jeszcze drobne poprawki. Teraz: Pobierz najnowszy AdwCleaner. Uruchom, wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Posty skleiłam dla porządku, ale oczywiście już odpowiadasz mi w nowym poście. Akcje do wykonania: 1. Deinstalacje: - Odinstaluj: LG Smart Share Packages, Pokki, Start Menu, SHAREit, Spybot - Search & Destroy. Aplikacje grupy "Pokki" (Pokki, Start Menu) integrowane na Lenovo mają marną reputację. A Spybot to przestarzały program. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\6WdM6\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 ShortcutWithArgument: C:\Users\Lukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 ShortcutWithArgument: C:\Users\Lukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 ShortcutWithArgument: C:\Users\Lukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 Edge HomeButtonPage: HKU\S-1-5-21-2838334835-2901256660-1012575049-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865&q={searchTerms} HKU\S-1-5-21-2838334835-2901256660-1012575049-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 HKU\S-1-5-21-2838334835-2901256660-1012575049-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449805289&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SanDiskXSDSSDA240G_152086402865&q={searchTerms} SearchScopes: HKU\S-1-5-21-2838334835-2901256660-1012575049-1001 -> {7A10A81D-8DAE-4E41-9A7D-18FFBEF34CB2} URL = HKU\S-1-5-21-2838334835-2901256660-1012575049-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe Task: {0B7D7B4E-8AAA-4D24-B832-71E510DDDF42} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {12E9E5DD-8DDF-4A01-97D1-41CD064AE56B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {194317C4-5313-4128-940B-64F409530915} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {2624AEE8-B78A-48BC-9242-2A87CAB39AED} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe Task: {39F364E5-DB70-4395-A2DE-82C64F96733B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-07-06] (Lenovo) Task: {4594CA86-088F-469E-9055-D7CECAAE8A52} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {74B51CB0-6BC7-4E85-8E1D-056C7FA709D6} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {7A8E2312-EEA1-4BB5-9D72-5390EB272B6A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8FE11094-3CE1-4834-881A-0CB6AC5DC8C9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {9A1CB3D9-5C07-44C1-9622-93AA00BC0221} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {B86D1289-5232-4E8C-9CE3-42C9A5E094C8} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E7FA493F-7554-4DB6-9D63-831583A5432D} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {E89A42C8-4421-479B-95CC-717605E11847} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\AdwCleaner RemoweDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\ProgramData\6WdM6 RemoveDirectory: C:\ProgramData\pWdMp RemoveDirectory: C:\ProgramData\PC Tools RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Lukasz\AppData\Roaming\TestApp RemoveDirectory: C:\Users\Lukasz\Desktop\Stare dane programu Firefox CMD: del /q "C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk" CMD: del /q C:\WINDOWS\SysWOW64\data.bin CMD: del /q C:\WINDOWS\system32\Drivers\EsgScanner.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź także, że problem ustąpił w przeglądarce Edge.

Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\9WdM9\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\MOJE PROGRAMY\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Wars - The Old Republic.lnk -> C:\MOJE PROGRAMY\GRY\Star Wars-The Old Republic\launcher.exe (BioWare) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\cdp.pl\Wiedźmin 2 Edycja Rozszerzona\Wiedźmin 2 Edycja Rozszerzona.lnk -> C:\MOJE PROGRAMY\GRY\The Witcher 2\Launcher.exe (CD Projekt RED) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\MOJE PROGRAMY\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} HKU\S-1-5-21-1946394690-2169185729-783039975-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT HKU\S-1-5-21-1946394690-2169185729-783039975-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT HKU\S-1-5-21-1946394690-2169185729-783039975-1001\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://g.uk.msn.com/HPALL13/175 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} SearchScopes: HKU\S-1-5-21-1946394690-2169185729-783039975-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449854553&z=27b6f665231ca240bea9c28g3z3z4t6bdw5zdwcw1z&from=ient07021&uid=TOSHIBAXMQ01ABD075_331YT48UTXX331YT48UT&q={searchTerms} ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku Task: {0A4AD910-57A4-42DA-A1EA-5381444E955C} - System32\Tasks\a2zLyrics-1-enabler => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-enabler.exe Task: {19433B98-193A-43F1-8F28-89CE4EF2FE4F} - System32\Tasks\{19EA5E08-BE20-4D2C-B559-C0B4056848D9} => pcalua.exe -a "C:\Moje programy\ARC\Arc\ArcLauncher.exe" Task: {1FBE0AC9-DFC0-40C2-9F8D-A9B495A581B5} - System32\Tasks\a2zLyrics-1-codedownloader => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-codedownloader.exe Task: {2340A46D-2DDA-41C3-9D6F-7B67BF3C81BC} - System32\Tasks\a2zLyrics-1-chromeinstaller => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-chromeinstaller.exe Task: {3E28F3B5-AD26-4B4A-A5CF-86D5A861236F} - System32\Tasks\{471D7365-89FC-444E-A561-83FE84D4BA1F} => pcalua.exe -a "C:\Moje programy\GRY\Perfect World\Arc\ArcLauncher.exe" -d "C:\Moje programy\GRY\Perfect World\Arc" Task: {41FC95AC-AD6C-4C40-8F53-F15E054208CC} - System32\Tasks\{E9E77933-D9E0-4116-99B4-A5D3E68F7D8B} => pcalua.exe -a "C:\Moje programy\ARC\Arc\ArcLauncher.exe" -d C:\Users\Damian\Desktop Task: {55722322-E306-4C39-9001-9DA5EF0254F4} - System32\Tasks\{665920AB-4D95-4A17-9361-17AA0C1E06D1} => pcalua.exe -a E:\start.exe -d E:\ -c /s Task: {B33ABFDF-05D3-4702-8926-310BEEF5082F} - System32\Tasks\a2zLyrics-1-updater => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-updater.exe Task: {BDBF377A-A20B-4CDA-A44B-E1D32F6B9088} - System32\Tasks\a2zLyrics-1-firefoxinstaller => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-firefoxinstaller.exe Task: {C97F6C9C-4965-47B7-B8B4-145DA360030F} - System32\Tasks\{4AB81A8E-3AA6-45D4-BD2D-AF6ED5F505F3} => pcalua.exe -a "C:\Moje programy\GRY\SCDA\SCDALauncher.exe" -d "C:\Moje programy\GRY\SCDA" Task: C:\WINDOWS\Tasks\a2zLyrics-1-chromeinstaller.job => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-chromeinstaller.exȅ/installcrx /agentregpath='a2zLyrics-1' /extensionfilepath C:\Program Files (x86)\a2zLyrics-1\41554.crx' /appid=41554 /srcid='000378' /subid='0' /zdata='0' /bic=5EF77779EAD040729587AA1F125DB40EIE /verifier=1f2ed37eeb5f7349fa2ce96ce7e0be7f /installerversion=1_28_153 /installerfullversion=1.28.153.3 /installationtime=1379924937 /statsdomain=hxxp:/stats.ourstatssrv.com /errorsdomain=hxxp:/errors.ourstatssrv.com Task: C:\WINDOWS\Tasks\a2zLyrics-1-codedownloader.job => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-codedownloader.exeƮ/reinstallapp /agentregpath='a2zLyrics-1' /appid=41554 /srcid='000378' /subid='0' /zdata='0' /bic=5EF77779EAD040729587AA1F125DB40EIE /verifier=1f2ed37eeb5f7349fa2ce96ce7e0be7f /installerversion=1_28_153 /installerfullversion=1.28.153.3 /installationtime=1379924937 /statsdomain=hxxp:/stats.ourstatssrv.com /errorsdomain=hxxp:/errors.ourstatssrv.com /codedownloaddomain=hxxp:/app-static.crossrider.com Task: C:\WINDOWS\Tasks\a2zLyrics-1-enabler.job => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-enabler.exeƃ/enablebho /agentregpath='a2zLyrics-1' /appid=41554 /srcid='000378' /subid='0' /zdata='0' /bic=5EF77779EAD040729587AA1F125DB40EIE /verifier=1f2ed37eeb5f7349fa2ce96ce7e0be7f /installerversion=1_28_153 /installationtime=1379924937 /statsdomain=hxxp:/stats.ourstatssrv.com /errorsdomain=hxxp:/errors.ourstatssrv.com Task: C:\WINDOWS\Tasks\a2zLyrics-1-firefoxinstaller.job => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-firefoxinstaller.exe˨/installxpi /agentregpath='a2zLyrics-1' /extensionfilepath C:\Program Files (x86)\a2zLyrics-1\41554.xpi' /appid=41554 /srcid='000378' /subid='0' /zdata='0' /bic=5EF77779EAD040729587AA1F125DB40EIE /verifier=1f2ed37eeb5f7349fa2ce96ce7e0be7f /installerversion=1_28_153 /installerfullversion=1.28.153.3 /installationtime=1379924937 /statsdomain=hxxp:/stats.ourstatssrv.com /errorsdomain=hxxp:/errors.ourstatssrv.com /waitforbrowser=300 /extensionid=536c2ac1-a17c-4de1-a3f2-1b869a3be96c@2f6608a0-8c65-4bfe-8e2f-c65b5cc757cb.com /extensionversion=0.92 /prefsbranch=a536c2ac1a17c4de1a3f21b869a3be96c2f6608a08c654bfe8e2fc65b5cc757cbcom41554 /updateurl=hxxps:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/41554.rdf Task: C:\WINDOWS\Tasks\a2zLyrics-1-updater.job => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-updater.exeǥ/runupdater /agentregpath='a2zLyrics-1' /appid=41554 /srcid='000378' /subid='0' /zdata='0' /bic=5EF77779EAD040729587AA1F125DB40EIE /verifier=1f2ed37eeb5f7349fa2ce96ce7e0be7f /installerversion=1_28_153 /installationtime=1379924937 /statsdomain=hxxp:/stats.ourstatssrv.com /errorsdomain=hxxp:/errors.ourstatssrv.com /monetizationdomain=hxxp:/stats.syncstatsdata.com /geoserviceurl=hxxp:/ipgeoapi.com/ /updatejsondomain=hxxp:/update.ourstatssrv.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\9WdM9 RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{99F36FBA-8477-43D6-A933-EB11D377FF3B} CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Neverwinter Nights 2\Moduły\Wrota Zachodu\Linki internetowe\Odwiedź witrynę pomocy technicznej Atari.lnk" CMD: del /q C:\Users\Damian\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Są tu dwie sprawy: - Na pendrive grasowała infekcja Gamarue, więcej na jej temat: KLIK. Wszystkie dane są, tylko w ukrytym folderze "bez nazwy", nie widzisz go, bo nie masz skonfigurowanej opcji Ukryj chronione pliki systemu operacyjnego. Moim zadaniem będzie uwidocznienie danych. - System nie jest zainfekowany powyższym robakiem, ale za to są instalacje adware. Nabyte m.in. z dobrychproramów: KLIK. Działania do wykonania: 1. Odinstaluj adware/PUP: AVG SafeGuard by Ask, DarkEra (to fałszywka udająca grę o podobnej nazwie), McAfee Security Scan Plus. 2. Zakładam, że pendrive jest nadal zmapowany pod literą G, w przeciwnym wypadku skrypt nie zadziała. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdsManPro; C:\ProgramData\UWMiniProU\WMiniPro.exe [301704 2015-11-06] (DTools LIMITED) S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U3 kxddrfow; \??\C:\Users\Grzesiek\AppData\Local\Temp\kxddrfow.sys [X] Task: {EEDC56E2-F112-4D51-AA4E-A5B1BEB1769D} - System32\Tasks\{D226DD92-96AF-4342-A7BC-45C73A45E931} => pcalua.exe -a C:\Users\Grzesiek\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor CHR HomePage: Default -> search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> hxxp://www.istartsurf.com/web/?type=ds&ts=1446807618&z=c5da6eb25f35d2a9ea696ccg5z4z9q6beeam3cacfw&from=cor&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E309661796617&q={searchTerms} CHR HKLM\...\Chrome\Extension: [aaaacnnimempmlomnnhdkimkfahjplfp] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaacnnimempmlomnnhdkimkfahjplfp.crx [2015-11-12] CHR HKLM\...\Chrome\Extension: [aaaadbkccgigjdmfmdhgikcckicldhjb] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaadbkccgigjdmfmdhgikcckicldhjb.crx [2015-11-12] CHR HKLM-x32\...\Chrome\Extension: [aaaacnnimempmlomnnhdkimkfahjplfp] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaacnnimempmlomnnhdkimkfahjplfp.crx [2015-11-12] CHR HKLM-x32\...\Chrome\Extension: [aaaadbkccgigjdmfmdhgikcckicldhjb] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaadbkccgigjdmfmdhgikcckicldhjb.crx [2015-11-12] FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\8cpzhtq8.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\8cpzhtq8.default\extensions\deskCutv2@gmail.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446807618&z=c5da6eb25f35d2a9ea696ccg5z4z9q6beeam3cacfw&from=cor&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E309661796617 SearchScopes: HKU\S-1-5-21-542395769-2740874246-3797253982-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\mntemp C:\ProgramData\Trend Micro C:\ProgramData\UWMiniProU C:\Users\Default User\AppData\Roaming\TuneUp Software C:\Users\Grzesiek\AppData\Roaming\DarkEra C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkEra.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DarkEra.lnk C:\Users\Grzesiek\Downloads\*-dp*.exe G:\Removable Drive (8GB).lnk CMD: attrib /d /s -s -h G:\* Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Jeśli skrypt pomyślnie wykona komendy na pendrive, zobaczysz folder "bez nazwy". Wejdź do niego i przenieś poziom wyżej wszystkie swoje dane. Następnie pusty już folder "bez nazwy" skasuj przez SHIFT+DEL (omija Kosz). 4. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, log USBFix z opcji Listing - nie zaznaczaj rekursywnego skanu jak to wcześniej zrobiłeś, nie potrzebuję tak obszaernego skanu. Dołącz też plik fixlog.txt.

Wszystko pomyślnie wykonane. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. W powyższym linku jest też spis aplikacji i ich najnowszych wersji. Uzupełnij co potrzebujesz. 3. Zainstaluj nowoczesnego antywirusa. Przykładowe dobre darmowe propozycje: Avast, Panda Free Antivirus. 4. I poczytaj o tym w jaki sposów tego typu śmieci adware dostają się do systemu: KLIK.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Proszę wrócić do konfiguracji FRST i uzupełnić brakujący plik: KLIK.

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki, wydzieliłam w osobny temat. I czytałaś wcześniejsze komentarze niedokładnie. Przecież "ten plik" robi osoba która ma w jednym palcu Windows (w tym przypadku ja) w oparciu o raporty z danego systemu. I pod każdym skryptem FRST jest napisane, że jest unikatowy dla danego systemu: plik pasuje tylko i wyłącznie do jednego systemu, nie wolno go używać na innych systemach i tak nie zrobi nic, a jeszcze może uszkodzić system. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] ShortcutWithArgument: C:\Documents and Settings\komputer\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT ShortcutWithArgument: C:\Documents and Settings\komputer\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT ShortcutWithArgument: C:\Documents and Settings\komputer\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT&q={searchTerms} HKU\S-1-5-21-515967899-1336601894-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT HKU\S-1-5-21-515967899-1336601894-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT&q={searchTerms} HKU\S-1-5-21-515967899-1336601894-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT HKU\S-1-5-21-515967899-1336601894-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656860&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=ST3250620AS_9QE21BCTXXXX9QE21BCT&q={searchTerms} FF HKLM\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files\Hewlett-Packard\SmartPrint\QPExtension FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\4whq28zt.default-1424354612578\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\4whq28zt.default-1424354612578\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\4whq28zt.default-1424354612578\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\4whq28zt.default-1424354612578\extensions\yahooprotected@gmail.com => nie znaleziono BHO: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\FWMiniProF RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\SWdMS RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\yWdMy RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\YTD Video Downloader RemoveDirectory: C:\Documents and Settings\komputer\Dane aplikacji\TSv RemoveDirectory: C:\Program Files\SFK CMD: del /q "C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat" CMD: del /q "C:\Documents and Settings\komputer\SendTo\Android (ALLPlayer Pilot).lnk" CMD: del /q "C:\Documents and Settings\komputer\Pulpit\Skrót do speed.lnk" CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W systemie jest okropnie stary IE6 i nalewży go zaktualizować, mimo używania innej przeglądarki. Zainstaluj IR8: KLIK. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Nie. Przecież widać w skrypcie dokładnie co jest przetwarzane. Brakuje nowego głównego skanu FRST.txt, a podany plik Addition.txt jest pusty. Zrób nowe logi.

Fix FRST pomyślnie wykonany. Czy na pewno użyłeś automatyczne narzędzie Fix-it, a nie ręczne tworzenie skryptu VBS w Notatniku?

Wprawdzie prawie wszystko zrobione (będzie do usunięcia pozostałość po SpyHunter), ale problem z WMI nie rozwiązany. Na dodatek wygląda na to, że ten system jest zupełnie pozbawiony wbudowanego Windows Defender. To nie jest normalna sytuacja. Pytaniem zasadniczym jest więc z jakiego nośnika instalowano Windows 8.1, czy przypadkiem nie była to "produkcja z torrent"?

Kończymy: 1. Uruchom AdwCleaner ponownie, tym razem wybbierz sekwencję Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. W w/w temacie są także linki do najnowszych wersji programów.

Ta deinstalacja odbyła się niestety w niepoprawnej kolejności, choć wszystko od Firefox usunięte. I kolejne poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Wow6432Node\AppDataLow\SOFTWARE\Crossrider DeleteKey: HKLM\SOFTWARE\Wow6432Node\do-searchSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{AD11DADE-C597-45D9-D8C5-1D2EB0B89613} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4ce02b50-a79a-44a5-9cad-4dd8ac3a2331} DeleteKey: HKLM\SOFTWARE\Wow6432Node\aa8af109-dbaa-496a-9aef-da505badc7a1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{99DCF141-03F9-4363-8D79-640FA646DEED} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3AF4400F-CDC5-4F2D-B3F1-74348E5D5CCC} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{422E1393-7A4C-44FF-A7E1-8B9D146E0666} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4807D6D8-ADC8-41AF-AB9D-AE1086D1E62F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6E1CD171-29C1-4D56-A223-E31C57A0A25A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{70E96298-17FC-4020-A7CF-6F81ED8CF3AB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{84A81B7E-B8CD-4891-BEA0-548D65E9610A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{867DF9A9-D013-4A1A-B685-DFF65D225ED4} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{889074FC-1456-4CE8-88F7-154264DC275F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91F4CF02-F675-4E6A-B4E8-C13DF09B9B1B} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A902A36E-0C79-4BD7-B561-9C058BD60210} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AB778974-218E-4734-90F0-731BE7E50E77} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{ADE6A9C0-12B3-457D-9A86-548FA87E04DB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B7C67027-15EB-489F-A9EA-286076CF7540} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{CDB98856-BEA3-4073-AF57-23A3583AE9E4} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{CDED8922-BB3D-4E3A-9C2C-89B1C927F48B} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D79CBD8E-D857-4D05-B3AD-26F722CF5B6E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E7EA7058-B19B-4A27-B50A-87A1B8FC5F30} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0EE6D408-6ED5-40C6-8C42-A041D5DE9AB0} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{13A42355-1F94-4459-B19E-F60B2C607C77} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{293DD661-C540-4AC4-9B4C-42E68369CE1B} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{2EC58BDB-0694-4D54-80DD-A8F2AA0427A1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{313B508D-596D-4BDF-B0B5-E41F224E184A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A8F7D0A5-7074-40B8-9BDC-1174BDD0A132} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D14D64BC-A0E4-42E3-BB72-FB41EA43C198} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{DD1F043F-ABC8-4643-8B95-D2C5B22BB019} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E3F3E8F9-F747-4DD6-BA6B-82A6CE1E0860} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{ED0B64D4-BF27-4521-AD27-190F49BF5EA7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{023E9EC8-B147-40EB-B0B3-DF90618FB371} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0522D9A4-4D57-437D-978D-E5B3B6C9005D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{07F41522-AF7D-4F26-B394-094F059FDB8A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0C40F472-7407-4467-8914-1DEA7C326972} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{212E6D43-6062-492A-B8CC-144669FF11ED} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{224FE662-1E6D-4BC0-AEBB-9E2FB4057BE9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3A807417-B46D-4D37-8C9A-19AC6DE204F9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3CC60715-D6C5-429D-830E-43FA3F86C61D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4517D94C-19BA-46FA-BE66-2A30CEAC4A85} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{555D7146-94A8-4C94-AE76-C39CDC7F7705} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{59D188FA-757A-424E-8C93-F58FFD896BD7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{8120D9D6-785C-4413-9C0C-DF2028C56FAD} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{823AE2EB-E62C-4847-B192-C99B91B92416} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9B4F7CFE-987D-410E-A8E4-20182E0B3C24} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9B9A45F4-18FC-484A-BACA-076D78273D8E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A6D54287-7939-466A-8579-92546D946C8C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A78EDAFB-926F-4D93-AB13-8232D7378EB1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\MIME\Database\Content Type\application/x-vnd.ssliveupdate.oneclickctrl.9 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\MIME\Database\Content Type\application/x-vnd.ssliveupdate.update3webcontrol.3 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{A18D16ED-27B2-4B83-B70C-15E73F099546} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{BEE7E029-5037-4DAD-A2DB-82E397AB1A44} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4ce02b50-a79a-44a5-9cad-4dd8ac3a2331} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B} DeleteKey: HKU\S-1-5-18\Software\AppDataLow\Software\_CrossriderRegNamePlaceHolder_ DeleteKey: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\_CrossriderRegNamePlaceHolder_ DeleteKey: HKU\S-1-5-19\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B} DeleteKey: HKU\S-1-5-20\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B} DeleteKey: HKU\S-1-5-21-3791551304-1605642030-3926548003-1003\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B} RemoveDirectory: C:\ProgramData\6WMiniPro6 RemoveDirectory: C:\Users\Asia\AppData\Local\Comodo RemoveDirectory: C:\Users\Asia\AppData\Local\Google\Chrome SxS RemoveDirectory: C:\Users\Asia\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\UpdatusUser\AppData\Local\Comodo RemoveDirectory: C:\Users\UpdatusUser\AppData\Local\Google CMD: del /q "C:\Users\Asia\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\bmnlcjabgnpnenekpadlanbbkooimhnj" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Delfix zrobił co należy. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Wszystko pomyślnie wykonane. Problem powinien ustąpić. Ale jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Dodaj jeszcze log USBFix z opcji Listing zrobiony przy podpiętym pendrive.

Akcje do wykonania: 1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 11 ActiveX, Adobe Flash Player 16 NPAPI, Adobe Reader XI (11.0.13) - Polish, Akamai NetSession Interface, Badanie mające na celu poprawę produktów HP Deskjet 2540 series, Bing Bar, ESET NOD32 Antivirus, Spybot - Search & Destroy, SpyHunter. Ten NOD strasznie stary, komponenty z 2009! A SpyHunter to program typu naciągacz, wątpliwej reputacji. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda\The Elder Scrolls V - Skyrim\The Elder Scrolls V - Skyrim.lnk -> C:\Program Files (x86)\Bethesda\The Elder Scrolls V - Skyrim\Launcher.exe (Bethesda Softworks) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS ShortcutWithArgument: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS ShortcutWithArgument: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS ShortcutWithArgument: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS ShortcutWithArgument: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS ShortcutWithArgument: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS ShortcutWithArgument: C:\Users\Public\Desktop\The Elder Scrolls V - Skyrim.lnk -> C:\Program Files (x86)\Bethesda\The Elder Scrolls V - Skyrim\Launcher.exe (Bethesda Softworks) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446576877&z=2818ad731409dc09cb63051gfz1z0q4wdm4q5q5e7g&from=cor&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS&q={searchTerms} HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS&q={searchTerms} HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713510&z=8851b9d48d80fdceb415b26gfz3zat4mbg8c4wde9z&from=ient07021&uid=TOSHIBAXMQ01ABD050_82CBSETRSXX82CBSETRS BHO-x32: Brak nazwy -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> Brak pliku Toolbar: HKLM-x32 - Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\BingExt.dll" Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Krzysiek\AppData\Roaming\Mozilla\Firefox\Profiles\6icqkcxr.default\extensions\default_newtabff@gmail.com Task: {84BA99F9-8108-4E9D-8FA5-2EDA9ABB45B8} - System32\Tasks\{F64E7904-D529-4E96-9F80-90AD75CEF134} => pcalua.exe -a C:\Users\Krzysiek\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {C9B119B5-54B6-4156-9130-9B7A55734F61} - System32\Tasks\{B8D6475C-7981-4762-9459-6E2CF40F10AD} => pcalua.exe -a "C:\Program Files (x86)\Picexa\uninstall.exe" Startup: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\40EF22D9D.lnk [2015-01-28] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Krzysiek\AppData\Local\Akamai\netsession_win.exe [4691384 2015-09-10] (Akamai Technologies, Inc.) HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\...\Run: [Mobile Partner] => C:\Program Files (x86)\Huawei E5372\Huawei E5372 HKU\S-1-5-21-1765370731-3468206040-3838702788-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 .EsetTrialReset; C:\Windows\system32\regedt32.exe /s C:\Windows\esettrialreset.reg S2 BBSvc; C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\BBSvc.exe [X] S3 BBUpdate; C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\SeaPort.exe [X] S2 IhPul; C:\Users\Krzysiek\AppData\Roaming\TSv\TSvr.exe [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\found.000 RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codecs for Windows 7 Pack C:\Users\Krzysiek\AppData\Roaming\mBot.ini C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Public\Desktop\Post Win10 Spybot-install.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. PS. Oczywiście odpowiadasz mi w nowym poście.

Działania do wykonania: 1. Deinstalacje: - Klawisz z flag Windows + X > Programy i funkcje > odinstaluj skaner-naciągacz SpyHunter 4 oraz Lenovo SHAREit (przypuszczalnie niechciana instalacja). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\lenovo\Desktop\Osoba 2 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449830073&z=97d25a760745b5a15b6988dgazfz8t7bec5e3edq2w&from=ient07021&uid=ST500LT012-1DG142_W3P9GWDDXXXXW3P9GWDD ShortcutWithArgument: C:\Users\lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449830073&z=97d25a760745b5a15b6988dgazfz8t7bec5e3edq2w&from=ient07021&uid=ST500LT012-1DG142_W3P9GWDDXXXXW3P9GWDD ShortcutWithArgument: C:\Users\lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449830073&z=97d25a760745b5a15b6988dgazfz8t7bec5e3edq2w&from=ient07021&uid=ST500LT012-1DG142_W3P9GWDDXXXXW3P9GWDD ShortcutWithArgument: C:\Users\lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449830073&z=97d25a760745b5a15b6988dgazfz8t7bec5e3edq2w&from=ient07021&uid=ST500LT012-1DG142_W3P9GWDDXXXXW3P9GWDD StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449830073&z=97d25a760745b5a15b6988dgazfz8t7bec5e3edq2w&from=ient07021&uid=ST500LT012-1DG142_W3P9GWDDXXXXW3P9GWDD StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449830073&z=97d25a760745b5a15b6988dgazfz8t7bec5e3edq2w&from=ient07021&uid=ST500LT012-1DG142_W3P9GWDDXXXXW3P9GWDD HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-501657961-3528871948-2240830133-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449830073&z=97d25a760745b5a15b6988dgazfz8t7bec5e3edq2w&from=ient07021&uid=ST500LT012-1DG142_W3P9GWDDXXXXW3P9GWDD&q={searchTerms} HKU\S-1-5-21-501657961-3528871948-2240830133-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449830073&z=97d25a760745b5a15b6988dgazfz8t7bec5e3edq2w&from=ient07021&uid=ST500LT012-1DG142_W3P9GWDDXXXXW3P9GWDD&q={searchTerms} SearchScopes: HKU\S-1-5-21-501657961-3528871948-2240830133-1001 -> {43124346-B84E-4D46-982E-4DC1FD5B58E5} URL = CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-06-14] Task: {D69CB942-A2F8-429E-B487-BF27FCCD1EB6} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-05-06] (Lenovo) Task: {F08EE956-E9F9-4795-AFEB-2BC71632AB81} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-05-30] (Lenovo) AppInit_DLLs: C:\PROGRA~2\LENOVO~1\LENOVO~1\bin\SPVC64~1.DLL => Brak pliku AppInit_DLLs-x32: C:\PROGRA~2\LENOVO~1\LENOVO~1\bin\SPVC32~1.DLL => Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VisualDiscovery => ""="service" S3 cpuz136; \??\C:\Users\lenovo\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\Mozilla RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Colorland.pl RemoveDirectory: C:\Users\lenovo\AppData\Local\Mozilla RemoveDirectory: C:\Users\lenovo\AppData\Roaming\WebApp RemoveDirectory: C:\Users\lenovo\AppData\Roaming\Mozilla CMD: del /q "C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk" CMD: del /q "C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk" CMD: del /q "C:\Users\Public\Desktop\Microsoft Office 2013 Activation.lnk" CMD: del /q C:\Users\lenovo\Downloads\SpyHunter*.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Osoby > usuń dwa nieużywane stare profile. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Akcja: 1. Odinstaluj zbędny program HP Deskjet 2050 J510 series Badanie ulepszeń produktu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\MWdMM\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S2 Update SourceApp; "C:\Program Files\SourceApp\updateSourceApp.exe" [X] ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX&q={searchTerms} HKU\S-1-5-21-2704335260-1478619686-1143808583-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX HKU\S-1-5-21-2704335260-1478619686-1143808583-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX SearchScopes: HKU\S-1-5-21-2704335260-1478619686-1143808583-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2704335260-1478619686-1143808583-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449835993&z=ef957d71bf25c1f1c9117b0gdzezatabcc6w8t4t5z&from=ient07021&uid=FUJITSUXMHY2120BH_K427T7B2EKUKT7B2EKUKX&q={searchTerms} HKLM\...\Run: [] => [X] Task: {DE6A9453-160D-4626-8B35-29090C0B9435} - System32\Tasks\Opera N Sunday => C:\Program Files\Opera\launcher.exe DisableService: PLAY ONLINE. RunOuc DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\MWdMM C:\Program Files\GUT2E41.tmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Na razie więc tylko to: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Adobe Flash Player 10 Plugin, Adobe Shockwave Player 11.6, Surfing Protection oraz adware Picexa. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper (to fałszywka od adware BonanzaDeals) > Dalej. - Są tu obiekty niepoprawnie odinstalowanego Kasperskiego. Wejdź w Tryb awaryjny i zastosuj specjalizowany usuwacz Kaspersky Remover. Po jego użyciu opuść Tryb awaryjny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\hp-pc\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\BWdMB\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 USBPNPA; \SystemRoot\system32\drivers\CM10864.sys [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] ShortcutWithArgument: C:\Users\hp-pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449852615&z=683df37ab262c4681593bbag3z2z7t2baweoaq3wem&from=ient07021&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069 ShortcutWithArgument: C:\Users\hp-pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Users\hp-pc\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449852615&z=683df37ab262c4681593bbag3z2z7t2baweoaq3wem&from=ient07021&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069 ShortcutWithArgument: C:\Users\hp-pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Users\hp-pc\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449852615&z=683df37ab262c4681593bbag3z2z7t2baweoaq3wem&from=ient07021&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069 ShortcutWithArgument: C:\Users\hp-pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449852615&z=683df37ab262c4681593bbag3z2z7t2baweoaq3wem&from=ient07021&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069 GroupPolicy: Ograniczenia - Chrome CHR HomePage: Default -> hxxp://s.piesearch.com/?type=chhp CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449852615&z=683df37ab262c4681593bbag3z2z7t2baweoaq3wem&from=ient07021&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069" CHR HKLM\...\Chrome\Extension: [ljnfelhdldlokjkohcmjpogkdjgbgjpj] - C:\Users\hp-pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\ljnfelhdldlokjkohcmjpogkdjgbgjpj.crx [2015-09-23] CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-05-20] CHR HKLM-x32\...\Chrome\Extension: [ljnfelhdldlokjkohcmjpogkdjgbgjpj] - C:\Users\hp-pc\AppData\Local\Google\Chrome\User Data\Default\Extensions\ljnfelhdldlokjkohcmjpogkdjgbgjpj.crx [2015-09-23] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449852615&z=683df37ab262c4681593bbag3z2z7t2baweoaq3wem&from=ient07021&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449852615&z=683df37ab262c4681593bbag3z2z7t2baweoaq3wem&from=ient07021&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420130684&from=cor&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420130684&from=cor&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449852615&z=683df37ab262c4681593bbag3z2z7t2baweoaq3wem&from=ient07021&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449852615&z=683df37ab262c4681593bbag3z2z7t2baweoaq3wem&from=ient07021&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420130684&from=cor&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420130684&from=cor&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069&q={searchTerms} HKU\S-1-5-21-992244858-3240562333-631018476-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449852615&z=683df37ab262c4681593bbag3z2z7t2baweoaq3wem&from=ient07021&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069 HKU\S-1-5-21-992244858-3240562333-631018476-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1430997646&from=wpm05073&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069&q={searchTerms} HKU\S-1-5-21-992244858-3240562333-631018476-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449852615&z=683df37ab262c4681593bbag3z2z7t2baweoaq3wem&from=ient07021&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069 SearchScopes: HKLM -> {FDFEEB45-4A6B-4A30-8B24-494E19ECF4A8} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKLM-x32 -> {FDFEEB45-4A6B-4A30-8B24-494E19ECF4A8} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-992244858-3240562333-631018476-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449852615&z=683df37ab262c4681593bbag3z2z7t2baweoaq3wem&from=ient07021&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069&q={searchTerms} SearchScopes: HKU\S-1-5-21-992244858-3240562333-631018476-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449852615&z=683df37ab262c4681593bbag3z2z7t2baweoaq3wem&from=ient07021&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069&q={searchTerms} SearchScopes: HKU\S-1-5-21-992244858-3240562333-631018476-1001 -> {FDFEEB45-4A6B-4A30-8B24-494E19ECF4A8} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1420130684&from=cor&uid=ST750LM022XHN-M750MBB_S2SUJ9KCB21069 BHO-x32: Maximum Maker -> {9a8e897c-6cf8-4049-b901-7fc2137c4d4f} -> C:\Program Files (x86)\Maximum Maker\Extensions\9a8e897c-6cf8-4049-b901-7fc2137c4d4f.dll => Brak pliku BHO-x32: Sale Clipper -> {b18906df-1dfa-4d50-8a1f-7d076a8c87b7} -> C:\Program Files (x86)\Sale Clipper\Extensions\b18906df-1dfa-4d50-8a1f-7d076a8c87b7.dll => Brak pliku BHO-x32: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Users\hp-pc\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll => Brak pliku BHO-x32: BonanzaDeals -> {fe063412-bea4-4d76-8ed3-183be6220d17} -> C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll => Brak pliku Toolbar: HKU\S-1-5-21-992244858-3240562333-631018476-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CustomCLSID: HKU\S-1-5-21-992244858-3240562333-631018476-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\hp-pc\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-992244858-3240562333-631018476-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\hp-pc\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-992244858-3240562333-631018476-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\hp-pc\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-992244858-3240562333-631018476-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\hp-pc\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-992244858-3240562333-631018476-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\hp-pc\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-992244858-3240562333-631018476-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\hp-pc\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-992244858-3240562333-631018476-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\hp-pc\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-992244858-3240562333-631018476-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\hp-pc\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-992244858-3240562333-631018476-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\hp-pc\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-992244858-3240562333-631018476-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\hp-pc\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-992244858-3240562333-631018476-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\hp-pc\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => Brak pliku Task: {1DF239C4-F7F4-4380-B9BA-A136E789529C} - System32\Tasks\{CB8413F8-8656-44F0-984E-C8AAAEB5CCD3} => pcalua.exe -a E:\driver.exe -d E:\ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\str => ""="service" HKLM\...\Run: [HotKeysCmds] => C:\Windows\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\Windows\system32\igfxpers.exe HKU\S-1-5-21-992244858-3240562333-631018476-1001\...\MountPoints2: {9e2a0642-ff32-11e4-bf07-9c2a703a5584} - "F:\LGAutoRun.exe" ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Users\hp-pc\AppData\Roaming\TSv RemoveDirectory: C:\Program Files (x86)\Picexa RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\BWdMB RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\Users\hp-pc\AppData\Roaming\eCyber RemoveDirectory: C:\Users\hp-pc\AppData\Roaming\Picexa Viewer C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\WINDOWS\SysWOW64\pl.html C:\WINDOWS\SysWOW64\pl2.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition i Shortcut. Dołącz też plik fixlog.txt.

Operacje do przeprowadzenia: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: md C:\Users\Mal\Desktop\Upload CMD: xcopy /e C:\Users\Mal\AppData\Roaming\Mozilla C:\Users\Mal\Desktop\Upload Reg: reg export HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions C:\Users\Mal\Desktop\Upload\ff.reg R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [271592 2015-11-03] () R2 IhPul; C:\Users\Mal\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\1WdM1\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S1 wfdrvr_vw_1_10_0_28; system32\drivers\wfdrvr_vw_1_10_0_28.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Mal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 ShortcutWithArgument: C:\Users\Mal\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 ShortcutWithArgument: C:\Users\Mal\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 ShortcutWithArgument: C:\Users\Mal\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 ShortcutWithArgument: C:\Users\Mal\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446573454&z=dc1feb6eef922286c234a5cgcz0zbq0w7m4cdgdb3o&from=cor&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1446665398&z=a010232c5d9a3b17a9f75cdg9zdzcq7qcq3w0c3t7b&from=cornl&uid=st9500420as_5vjeryn2xxxx5vjeryn2&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1446665398&z=a010232c5d9a3b17a9f75cdg9zdzcq7qcq3w0c3t7b&from=cornl&uid=st9500420as_5vjeryn2xxxx5vjeryn2&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1446665398&z=a010232c5d9a3b17a9f75cdg9zdzcq7qcq3w0c3t7b&from=cornl&uid=st9500420as_5vjeryn2xxxx5vjeryn2&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1446665398&z=a010232c5d9a3b17a9f75cdg9zdzcq7qcq3w0c3t7b&from=cornl&uid=st9500420as_5vjeryn2xxxx5vjeryn2&q={searchTerms} HKU\S-1-5-21-3949296395-2619626920-865811533-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2&q={searchTerms} HKU\S-1-5-21-3949296395-2619626920-865811533-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 HKU\S-1-5-21-3949296395-2619626920-865811533-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2 HKU\S-1-5-21-3949296395-2619626920-865811533-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2&q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3949296395-2619626920-865811533-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2&q={searchTerms} SearchScopes: HKU\S-1-5-21-3949296395-2619626920-865811533-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Mal\AppData\Roaming\Mozilla\Firefox\Profiles\nvhhgxkk.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Users\Mal\AppData\Roaming\Mozilla\Firefox\Profiles\nvhhgxkk.default\extensions\sidebarff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Mal\AppData\Roaming\Mozilla\Firefox\Profiles\nvhhgxkk.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Mal\AppData\Roaming\Mozilla\Firefox\Profiles\nvhhgxkk.default\extensions\yahooprotected@gmail.com CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449741591&z=2850e4d36d086964c37b6d5g5z2z9t8m5z3gdw4t8g&from=ient07021&uid=ST9500420AS_5VJERYN2XXXX5VJERYN2&q={searchTerms} CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Mal\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-11-01] CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Mal\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] Task: {13223C2E-5392-4037-ABDA-EF8C9DA40A68} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) HKU\S-1-5-21-3949296395-2619626920-865811533-1001\...\Policies\system: [DisableLockWorkstation] 0 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\RayDld RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\1WdM1 RemoveDirectory: C:\ProgramData\pWMiniProp RemoveDirectory: C:\ProgramData\vWdMv RemoveDirectory: C:\Users\Mal\AppData\Local\Lenovo RemoveDirectory: C:\Users\Mal\AppData\Roaming\TSv RemoveDirectory: C:\Windows\System32\Tasks\Lenovo C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Mal\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Poza tym, na Pulpicie powstał folder Upload - proszę spakuj go do ZIP, shostuj gdzieś i podaj do niego link.

Akcje do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj starsze wersje: Adobe AIR, Adobe Flash Player 19 NPAPI, Java 7 Update 80, Java 8 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2015-12-10] () R2 IhPul; C:\Documents and Settings\bs\Dane aplikacji\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\7WdM7\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Opera 29.lnk -> C:\Program Files\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY ShortcutWithArgument: C:\Documents and Settings\bs\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY ShortcutWithArgument: C:\Documents and Settings\bs\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY ShortcutWithArgument: C:\Documents and Settings\bs\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY ShortcutWithArgument: C:\Documents and Settings\bs\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY ShortcutWithArgument: C:\Documents and Settings\bs\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447079913&z=886c83d52bff214aeff2813g0z8z7m7e0mbt1q8g7q&from=cor&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe hxxp://www.yoursites123.com/?type=sc&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY&q={searchTerms} HKU\S-1-5-21-1409082233-602609370-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY HKU\S-1-5-21-1409082233-602609370-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1409082233-602609370-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY&q={searchTerms} SearchScopes: HKU\S-1-5-21-1409082233-602609370-725345543-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY&q={searchTerms} SearchScopes: HKU\S-1-5-21-1409082233-602609370-725345543-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449715652&z=3d2abe64f6f8c13fbcd9467gez3zat6mcgdweqbz5t&from=ient07021&uid=ST9320325AS_5VE20LNYXXXX5VE20LNY&q={searchTerms} FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Documents and Settings\bs\Dane aplikacji\Mozilla\Firefox\Profiles\jyav6lno.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\bs\Dane aplikacji\Mozilla\Firefox\Profiles\jyav6lno.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\bs\Dane aplikacji\Mozilla\Firefox\Profiles\jyav6lno.default\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\bs\Dane aplikacji\Mozilla\Firefox\Profiles\jyav6lno.default\extensions\yahooprotected@gmail.com => nie znaleziono Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\oBfg9mSuZnG.job => C:\Documents and Settings\bs\Dane aplikacji\oBfg9mSuZnG.exe Task: C:\WINDOWS\Tasks\SmartWeb Upgrade Trigger Task.job => C:\Documents and Settings\bs\Ustawienia lokalne\Dane aplikacji\SmartWeb\SmartWebHelper.exe HKU\S-1-5-21-1409082233-602609370-725345543-1003\...\Policies\Explorer: [NoSaveSettings] 0 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlashPlayerUpdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mbot_pl_35 DeleteKey: HKLM\SOFTWARE\yoursites123Software RemoveDirectory: C:\Documents and Settings\bs\Dane aplikacji\TSv RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\7WdM7 RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\ZWdMZ RemoveDirectory: C:\Program Files\SFK C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\bs\Dane aplikacji\oBfg9mSuZnG C:\Documents and Settings\bs\Ustawienia lokalne\Dane aplikacji\nsa750.tmp C:\Documents and Settings\bs\Ustawienia lokalne\Dane aplikacji\nsj72F.tmp C:\Documents and Settings\bs\Ustawienia lokalne\Dane aplikacji\nsr6D2.tmp C:\WINDOWS\system32\Drivers\EsgScanner.sys CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Nazwy logów wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum. Bieżące logi powstają tam skąd uruchamiasz FRST, czyli w tym przypadku C:\Users\Kinga\Downloads. W celu "rozwiązania" problemu został zainstalowany lewy skaner-naciągacz SpyHunter. Ponadto przeinwestowany układ antywirusów, aż dwa równoległe uruchomione. To za dużo! Akcje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj starsze wersje i lewy skaner Adobe AIR, Adobe Reader XI (11.0.13) - Polish, Adobe Shockwave Player 12.0, Java 7 Update 71 (64-bit), Java 7 Update 79, SpyHunter. Wybierz także który z nich ma być usunięty: Ad-Aware Antivirus lub Baidu Antivirus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Kinga\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 PicexaService; C:\Program Files (x86)\Picexa\PicexaSvc.exe [731784 2015-12-09] (Taiwan Shui Mu Chih Ching Technology Limited) R2 WdMan; C:\ProgramData\4WdM4\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] R2 WdsManPro; C:\ProgramData\2WMiniPro2\WMiniPro.exe [302592 2015-11-30] (DTools LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Kinga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824751&z=a070925003a15e01b412f83gazfz1t0bfoazcm6z2c&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX ShortcutWithArgument: C:\Users\Kinga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824751&z=a070925003a15e01b412f83gazfz1t0bfoazcm6z2c&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX ShortcutWithArgument: C:\Users\Kinga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824751&z=a070925003a15e01b412f83gazfz1t0bfoazcm6z2c&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX ShortcutWithArgument: C:\Users\Kinga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824751&z=a070925003a15e01b412f83gazfz1t0bfoazcm6z2c&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824751&z=a070925003a15e01b412f83gazfz1t0bfoazcm6z2c&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX Edge HomeButtonPage: HKU\S-1-5-21-996966027-1595442658-2413617871-1001 -> hxxp://www.delta-homes.com/?type=hp&ts=1442818244&z=f5b4d317fe221ba9ab66741g3z8z9o5bbg3b2odwcg&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Kinga\AppData\Roaming\Mozilla\Firefox\Profiles\nra5u0rv.default\extensions\faststartff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Kinga\AppData\Roaming\Mozilla\Firefox\Profiles\157sckfb.default-1428305416254\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Kinga\AppData\Roaming\Mozilla\Firefox\Profiles\157sckfb.default-1428305416254\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Kinga\AppData\Roaming\Mozilla\Firefox\Profiles\157sckfb.default-1428305416254\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Kinga\AppData\Roaming\Mozilla\Firefox\Profiles\157sckfb.default-1428305416254\extensions\yahooprotected@gmail.com => nie znaleziono HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-996966027-1595442658-2413617871-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-996966027-1595442658-2413617871-1001\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://g.uk.msn.com/HPALL13/178 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1449036378&z=ecaadc7de49bc924f8fd26fg3z5zdt0e7c5q1c7beg&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX&q={searchTerms} SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1449036378&z=ecaadc7de49bc924f8fd26fg3z5zdt0e7c5q1c7beg&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX&q={searchTerms} SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKU\S-1-5-21-996966027-1595442658-2413617871-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-996966027-1595442658-2413617871-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF HKLM\...\Run: [] => [X] HKU\S-1-5-21-996966027-1595442658-2413617871-1001\...\MountPoints2: {346bc93b-495d-11e5-bed8-6c3be5f73402} - "F:\AutoRun.exe" BootExecute: autocheck autochk * sh4native Sh4Removal Task: {080D40B9-5E31-42B0-BCF7-CC7AB9E084DC} - System32\Tasks\{67424D53-A244-41BE-9F38-E7465E420BDB} => Firefox.exe hxxp://ui.skype.com/ui/0/7.6.0.105/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {0838620A-000D-4DA3-90E0-8FC0040FC283} - System32\Tasks\{4A65F31F-B51A-47E5-B38C-84E023253525} => pcalua.exe -a "C:\Users\Kinga\AppData\Roaming\0I0M0D1F2W1G1I1F1T1Q1P1C\Microsoft Office 2010 Packages\uninstaller.exe" -c /Uninstall /NM="Microsoft Office 2010 Packages" /AN="0I0M0D1F2W1G1I1F1T1Q1P1C" /MBN="Microsoft Office 2010 Packages" Task: {0CB4D8E7-742C-492D-8865-0E92E07219E6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {16F1E6E6-D208-4420-AC52-B4671838459A} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {19FF550D-6800-490D-9E44-BAFF4CD4795A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {219B870D-4B75-41EA-A693-ED1C74BA453E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {282A81FA-7D6D-440A-AEBD-E4D6E2CB9100} - System32\Tasks\{B6F69843-C909-402C-88FC-18F31E66D638} => Firefox.exe hxxp://ui.skype.com/ui/0/7.5.64.102/pl/abandoninstall?page=tsProgressBar Task: {37A52E26-E8E9-4898-B466-E3ADCE7EFB88} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {46B06F2E-CBA3-4639-9BE5-0BBCB0AA8932} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {4807D6CF-B5ED-40FA-AD22-EC715154D226} - System32\Tasks\{2E39F39B-4DEB-46C8-B267-8384ED6A3D6F} => Firefox.exe hxxp://ui.skype.com/ui/0/7.13.0.101/pl/abandoninstall?page=tsProgressBar Task: {525D0721-BD5A-4F5D-87F9-90042AF63C2C} - System32\Tasks\{6AD76E91-99B1-40D5-B3E8-DFF8304107FF} => Firefox.exe hxxp://ui.skype.com/ui/0/7.8.0.102/pl/abandoninstall?page=tsProgressBar Task: {538B39C0-61D8-4626-91DA-0E4F0D5ACCEE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5D306454-B865-4F11-95C8-4DD9EDBB591C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {7AE40CDE-29E9-49EF-A2FF-A11C86E4B818} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {7BC5E866-3CB5-4B48-B7B8-C1A39BF297A9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {9A65C296-1F84-4150-808C-00D51B35E3E3} - System32\Tasks\{A1146FE8-D321-401E-A299-14BA462BF369} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.6.0.105&LastError=12002 Task: {A97A4198-0F0A-43B0-95AA-4CD98A30E47E} - System32\Tasks\{0456FC49-E446-464B-A1BA-320251A30F4F} => pcalua.exe -a C:\Users\Kinga\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {B7581A53-3192-4A44-B222-19D90A363791} - System32\Tasks\{7A991B6E-5337-4E3C-B4BA-8DBBDA4016D9} => Firefox.exe hxxp://ui.skype.com/ui/0/7.6.0.105/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {D56813A2-FE65-48BC-A310-1F5B42E18A91} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {D8894160-37D8-432F-86A1-5EC7EA10D3E1} - System32\Tasks\{C60132EA-3BA0-4E3A-8540-83C3D11D342E} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.6.0.105&LastError=12002 Task: {DB119BF1-0F29-4B58-9264-8AF96F684AAD} - System32\Tasks\{A7FEC81D-122F-4C7E-B45F-D269C1CF3CBB} => Firefox.exe hxxp://ui.skype.com/ui/0/7.8.0.102/pl/abandoninstall?page=tsProgressBar Task: {E85AE5E9-F4C0-4B60-BD25-E4391EF4BA7E} - System32\Tasks\{B259622C-302E-490B-AE3C-5EEFFE7C9DBA} => pcalua.exe -a C:\Users\Kinga\Downloads\forge-1.7.2-10.12.2.1121-installer-win.exe -d C:\Users\Kinga\Downloads Task: {E8ACFF89-B1B1-4725-A8B3-B76C3212F5E0} - System32\Tasks\{5C899B0C-6F6F-4BCE-97CE-345214A25F69} => Firefox.exe hxxp://ui.skype.com/ui/0/7.1.59.105/pl/abandoninstall?page=tsMain Task: {F6D76E06-0212-4745-9244-0580E4B97B82} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f RemoveDirectory: C:\Program Files (x86)\Picexa RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\2WMiniPro2 RemoveDirectory: C:\ProgramData\4WdM4 RemoveDirectory: C:\ProgramData\UWMiniProU RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\Users\Kinga\AppData\Local\Microsoft\Windows\GameExplorer\{4D5D7E46-058A-41B4-AA44-4E6BF4F8C22B} RemoveDirectory: C:\Users\Kinga\AppData\Roaming\Picexa Viewer RemoveDirectory: C:\Users\Kinga\AppData\Roaming\TSv RemoveDirectory: C:\Users\Kinga\AppData\Roaming\WinZipper RemoveDirectory: C:\Users\Kinga\Downloads\SpyHunter 4.17.6.4336 RemoveDirectory: C:\WINDOWS\AF54923662584AC6A0435B5B89C6EB61.TMP C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Strogino CS Portal\Counter-Strike Source\Counter-Strike Source.lnk C:\Users\Kinga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Kinga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa (2).lnk C:\Users\Kinga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\obrazy.lnk C:\Users\Kinga\Desktop\AKINGA\TATA\Counter-Strike Source.lnk C:\Users\Kinga\Desktop\Linux\ZDJĘCIA\GRY\HCA - Brzydkie Książątko.lnk C:\Users\Kinga\Downloads\SpyHunter*.* C:\Users\Public\Desktop\Picexa.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Akurat tytułowy problem to najmniejszy problem. Jest tu więcej poważniejszych rzeczy: - Rootkit Necurs, bardzo inwazyjny, poblokował większość sterowników Windows. I on ma pierwszeństwo usuwania. Nie można się zająć resztą nie usuwając rootkita w pierwszej kolejności. - Inne infekcje, w tym "bezplikowa" inicjowana via systemowy PowerShell. - Inwazyjny crack aktywacji Windows Chew7Hale, który jest znany z obniżania wydajności systemu. Przykładowy temat obrazujący jak ten crack negatywnie wpływa na system: KLIK. A takich tematów z wysokim użyciem CPU i zamuleniem jest o wiele więcej na forum. Trzeba się go będzie kiedyś pozbyć... Działania wstępne do wykonania: 1. Uruchom Kaspersky TDSSKiller. Dla wyników Rootkit.Win32.Necurs.gen (7317fa71cd78d09e + syshost32) wybierz akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też log utworzony przez TDSSKiller. Gdy potwierdzę usunięcie rootkita, zajmę się resztą nieszczęść.

Problem PriceFountain produkuje zadanie SeductivenessEmpathyV2 w Harmonogramie Windows. Poza tym, zainstalowałeś wątpliwy skaner SpyHunter, to naciągacz. Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare wersje i zbędne programy: Adobe AIR, Adobe Reader 9.5.0 - Polish, Adobe Shockwave Player 12.0, IObit Malware Fighter wersja 3.1.0, Java 8 Update 31, Real Alternative 2.0.1 Lite, Surfing Protection, SpyHunter. Wtyczki Real są strasznie stare (naruszenie bezpieczeństwa w Firefox). IObit Malware Fighter to przeciętny program, a marka IOBit nie jest tu polecana na forum ze względu na reputację producenta. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {4F02E149-6197-42CB-BCC1-7318720BD7C5} - System32\Tasks\{52C0F868-2DBB-44C9-A944-10396542A68F} => pcalua.exe -a D:\Gry\097\Resident_Evil\RESDEVIL\setup.exe -d D:\Gry\097\Resident_Evil\RESDEVIL Task: {8A12B773-979D-464E-AEE6-962B15CFB951} - System32\Tasks\SeductivenessEmpathyV2 => Rundll32.exe GoodlyCrusades.dll,main 7 1 Task: {9AB0214B-9D3C-45F4-B1A1-EE140FFEDF0E} - \Price Fountain -> Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice => ""="Service" HKU\S-1-5-21-2349542156-1443959456-3792940041-1000\...\Run: [skype] => "C:\Program Files\Skype\Phone\Skype.exe" /regrun HKU\S-1-5-21-2349542156-1443959456-3792940041-1000\...\Run: [mcuozzcu] => C:\Users\PHUFOT~1\AppData\Local\Temp\ybdepcs.exe HKU\S-1-5-21-2349542156-1443959456-3792940041-1000\...\Run: [lvqhczna] => C:\Users\PHUFOT~1\AppData\Local\Temp\ueyrhgg.exe AppInit_DLLs: c:\progra~1\kasper~1\kasper~1.0\r3hook.dll => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130862563191920000&GUID=87B809CA-CACB-45F5-AFB5-D469BC20751F HKU\S-1-5-21-2349542156-1443959456-3792940041-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130862563191940000&GUID=87B809CA-CACB-45F5-AFB5-D469BC20751F URLSearchHook: HKLM -> Domyślne = {74198672-5F7D-4FE9-A611-4AC1D5A66A15} URLSearchHook: HKU\S-1-5-21-2349542156-1443959456-3792940041-1000 -> Domyślne = {74198672-5F7D-4FE9-A611-4AC1D5A66A15} SearchScopes: HKU\S-1-5-21-2349542156-1443959456-3792940041-1000 -> DefaultScope {4C110C67-9F6F-4701-B6A6-9F8C5046DE27} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-2349542156-1443959456-3792940041-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250318AS_6VM2PMWEXXXX6VM2PMWE&ts=1425901183&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2349542156-1443959456-3792940041-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = SearchScopes: HKU\S-1-5-21-2349542156-1443959456-3792940041-1000 -> {4C110C67-9F6F-4701-B6A6-9F8C5046DE27} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-2349542156-1443959456-3792940041-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1448872916&z=f7e2bbe9f6566c789bf6151gdzdzcbebfmboct4q7z&from=cor&uid=ST3250318AS_6VM2PMWEXXXX6VM2PMWE FF Plugin: @divx.com/DivX Player Plugin,version=1.0.0 -> C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll [brak pliku] FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [pdf_architect_4_conv@pdfarchitect.org] - C:\Program Files\PDF Architect 4\resources\pdfarchitect4firefoxextension FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-09-09] S4 FileMonitor; \??\C:\Program Files\IObit\IObit Malware Fighter\Drivers\wlh_x86\FileMonitor.sys [X] S3 RegFilter; \??\C:\Program Files\IObit\IObit Malware Fighter\drivers\wlh_x86\regfilter.sys [X] S3 UrlFilter; \??\C:\Program Files\IObit\IObit Malware Fighter\drivers\wlh_x86\UrlFilter.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Program Files\Mozilla Firefox\browser\searchplugins C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\lWMiniProl C:\ProgramData\Microsoft\Windows\GameExplorer\{BDDBD384-63A5-4C9E-A84D-8773790B35A9} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\City Interactive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Handbrake C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\*.lnk C:\Users\PHUFOTOSET\AppData\Local\Microsoft\Windows\GameExplorer\{FC5B774D-B897-4D89-80C2-7CBEC01166E9} C:\Users\PHUFOTOSET\AppData\Local\Microsoft\Windows\GameExplorer\{DD863A59-5454-4241-80C1-0B259EC1219E} C:\Users\PHUFOTOSET\AppData\Local\Microsoft\Windows\GameExplorer\{AFE88BC5-0BE2-4B96-91D8-71EE4013BF3D} C:\Users\PHUFOTOSET\AppData\Local\Microsoft\Windows\GameExplorer\{5D601695-EE24-4D4D-A469-283A7BC62F02} C:\Users\PHUFOTOSET\AppData\Local\Microsoft\Windows\GameExplorer\{4E816B95-7D36-44BB-A465-CB7905F02F50} C:\Users\PHUFOTOSET\AppData\Local\Microsoft\Windows\GameExplorer\{4D05857D-05AB-4A30-B026-B0B0D0ABD288} C:\Users\PHUFOTOSET\AppData\Local\Microsoft\Windows\GameExplorer\{472947D6-979D-4F1F-AA75-8D491DAE70CA} C:\Users\PHUFOTOSET\AppData\Local\Microsoft\Windows\GameExplorer\{251E19C9-FF9A-42C1-88F6-541DCBD4C43E} C:\Users\PHUFOTOSET\AppData\Local\Microsoft\Windows\GameExplorer\{153DF683-65AE-4910-908D-1A2B2B2C001F} C:\Users\PHUFOTOSET\AppData\Local\SeductivenessEmpathy C:\Users\PHUFOTOSET\AppData\Roaming\dmst101b C:\Users\PHUFOTOSET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CAPCOM C:\Users\PHUFOTOSET\Desktop\S_yH_nter 4 C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\PHUFOTOSET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.