picasso
-
Postów
36 524 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez picasso
-
Był tu używany ComboFix i na ten temat: KLIK. To obecnie nawet nie jest zbyt dobry program do usuwania adware, o wiele większą specjalizację ma AdwCleaner. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Reader X (10.1.10) - Polish, DivX Setup, Driver Booster 2.4, Google Toolbar for Internet Explorer, Java 8 Update 60, Real Alternative 1.9.0 Lite. Przstrzegam też przez używaniem automatów do aktualizacji sterowników. Można nabroić. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655721&z=0477a6665088a845a4c4bb4gbz2z6t3q1w2w3m9gae&from=ient07021&uid=HitachiXHTS545032B9A300_100107PBP303Q6F6HRRLX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SklepGOL\GOL Downloader\GOL Downloader.lnk -> C:\Program Files\SklepGOL\GOL Downloader\Launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1449655721&z=0477a6665088a845a4c4bb4gbz2z6t3q1w2w3m9gae&from=ient07021&uid=HitachiXHTS545032B9A300_100107PBP303Q6F6HRRLX ShortcutWithArgument: C:\Users\GeoDeus\Desktop\Wiedzmin.lnk -> D:\Game\Wtcher\launcher.exe (CD Projekt Red) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655721&z=0477a6665088a845a4c4bb4gbz2z6t3q1w2w3m9gae&from=ient07021&uid=HitachiXHTS545032B9A300_100107PBP303Q6F6HRRLX ShortcutWithArgument: C:\Users\GeoDeus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655721&z=0477a6665088a845a4c4bb4gbz2z6t3q1w2w3m9gae&from=ient07021&uid=HitachiXHTS545032B9A300_100107PBP303Q6F6HRRLX ShortcutWithArgument: C:\Users\GeoDeus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655721&z=0477a6665088a845a4c4bb4gbz2z6t3q1w2w3m9gae&from=ient07021&uid=HitachiXHTS545032B9A300_100107PBP303Q6F6HRRLX ShortcutWithArgument: C:\Users\GeoDeus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655721&z=0477a6665088a845a4c4bb4gbz2z6t3q1w2w3m9gae&from=ient07021&uid=HitachiXHTS545032B9A300_100107PBP303Q6F6HRRLX ShortcutWithArgument: C:\Users\GeoDeus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655721&z=0477a6665088a845a4c4bb4gbz2z6t3q1w2w3m9gae&from=ient07021&uid=HitachiXHTS545032B9A300_100107PBP303Q6F6HRRLX ShortcutWithArgument: C:\Users\GeoDeus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655721&z=0477a6665088a845a4c4bb4gbz2z6t3q1w2w3m9gae&from=ient07021&uid=HitachiXHTS545032B9A300_100107PBP303Q6F6HRRLX ShortcutWithArgument: C:\Users\Public\Desktop\GOL Downloader.lnk -> C:\Program Files\SklepGOL\GOL Downloader\Launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1449655721&z=0477a6665088a845a4c4bb4gbz2z6t3q1w2w3m9gae&from=ient07021&uid=HitachiXHTS545032B9A300_100107PBP303Q6F6HRRLX ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449655721&z=0477a6665088a845a4c4bb4gbz2z6t3q1w2w3m9gae&from=ient07021&uid=HitachiXHTS545032B9A300_100107PBP303Q6F6HRRLX StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449655721&z=0477a6665088a845a4c4bb4gbz2z6t3q1w2w3m9gae&from=ient07021&uid=HitachiXHTS545032B9A300_100107PBP303Q6F6HRRLX HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3916604919-2912353607-3506189148-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449655721&z=0477a6665088a845a4c4bb4gbz2z6t3q1w2w3m9gae&from=ient07021&uid=HitachiXHTS545032B9A300_100107PBP303Q6F6HRRLX HKU\S-1-5-21-3916604919-2912353607-3506189148-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449655721&z=0477a6665088a845a4c4bb4gbz2z6t3q1w2w3m9gae&from=ient07021&uid=HitachiXHTS545032B9A300_100107PBP303Q6F6HRRLX&q={searchTerms} DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {CAFEEFAC-0018-0000-0025-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab FF HKLM\...\Firefox\Extensions: [bkmrksync@nokia.com] - C:\Program Files\Nokia\Nokia PC Suite 7\bkmrksync CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{D166BD15-03AF-413A-BEFD-0679FF410B49}\InprocServer32 -> C:\Users\GeoDeus\AppData\Local\Dropbox\Update\1.3.27.29\psuser.dll => Brak pliku Task: {0E04DCDC-622F-4375-A952-99DB8B5839C7} - \Program aktualizacji online firmy DivX. -> Brak pliku Task: {10685C1C-9661-4DF5-9897-D3D74FF67139} - \Program aktualizacji online firmy Adobe. -> Brak pliku Task: {2D60BEED-4E10-45EB-8851-66C03B1004BB} - System32\Tasks\{7CED57D7-D2FF-4228-BA93-C6A5C6AFEEE3} => pcalua.exe -a C:\Users\GeoDeus\Downloads\subedit_b4072_install.exe -d C:\Users\GeoDeus\Downloads Task: {344DF784-5623-45FC-BCB4-7E4138F15BDC} - System32\Tasks\Opera N Sunday => C:\Program Files\Opera\launcher.exe Task: {380BC765-8DDA-481F-8DCD-9623410CABDC} - System32\Tasks\{6D86AB5E-0779-4A32-B886-A2155321FEDE} => pcalua.exe -a C:\Users\GeoDeus\Desktop\bws-scs10.exe -d C:\Users\GeoDeus\Desktop Task: {530196E1-41E3-4F5F-94DF-057AC9AC074F} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\windows\ehome\ehrec.exe Task: {584B023C-385E-4DA7-B7CA-335B19FAF6D7} - System32\Tasks\{0340523C-1868-49DA-9774-2C0304E49B78} => E:\OFBE.exe Task: {641FC928-E93C-4F2D-B4A5-6634C8DFE7D5} - System32\Tasks\{2DFDB17C-DF29-4FC8-A064-4F1F662B58F4} => pcalua.exe -a "C:\Users\GeoDeus\Downloads\SubEdit Player + CodecPack 4072.exe" -d C:\Users\GeoDeus\Downloads Task: {7218ED70-31FD-4E5A-8B3B-2738FE876283} - System32\Tasks\{55C89BF2-2ABB-47C1-8D58-2745E3F4A60F} => pcalua.exe -a D:\Download\HL2\autorun.exe -d D:\Download\HL2 Task: {7B373790-ED56-4506-B44C-E05702BBE5A6} - System32\Tasks\{398EB5AB-089B-41D7-B434-514B4570D448} => E:\OFBE.exe Task: {849B1EF4-5B76-440E-B9AF-D924F827C472} - System32\Tasks\Opera N Saturday => C:\Program Files\Opera\launcher.exe Task: {8849CEF8-5037-489C-9941-4FA099AC7B86} - System32\Tasks\{161AAD91-8666-482B-B5E5-D9C8259D0319} => E:\OFBE.exe Task: {89FAC0F6-6197-41E0-9BD9-67E3C8AFD03B} - System32\Tasks\{A98708E4-3625-46E7-8AD5-BA96A9477FFE} => msiexec.exe /package "C:\Users\GeoDeus\Downloads\setup(2).msi" Task: {8C087AEF-1655-4166-89D9-5DC3EBFB5EC6} - System32\Tasks\{BF57CAD7-782C-4C0B-8BF9-023F028B87BF} => pcalua.exe -a "D:\Game\Fallout 3\mody\crack 1.7\witaminki\Fallout 3 v1.7.0.3 UCP + Launcherfix_JWC-2009\Fallout 3 v1.7.0.3 UCP + Launcherfix.exe" -d "D:\Game\Fallout 3\mody\crack 1.7\witaminki\Fallout 3 v1.7.0.3 UCP + Launcherfix_JWC-2009" Task: {9DE53A8A-2858-4086-BD11-8097669A70CD} - System32\Tasks\{0BEBBB73-A966-43FB-8321-54BAAA478BBB} => pcalua.exe -a H:\setup.exe -d H:\ Task: {A7F2EFFC-63A4-4DB3-8D9B-F718A0FA452D} - System32\Tasks\{38DAF03A-DB3F-4F38-B5C9-4F897BFE0FC8} => msiexec.exe /package "C:\Users\GeoDeus\Downloads\setup(2).msi" Task: {A8FEB30D-5976-44C1-9D44-81C70CFD6A9F} - System32\Tasks\{6BEBC824-4AA5-458E-8E58-EFD8DB8AC026} => E:\OFBE.exe Task: {AA3C58CF-CF91-46E4-BA9B-B8107B62749C} - System32\Tasks\{F920929D-1359-4502-9AF1-CF6F0695C6F1} => E:\OFBE.exe Task: {B9511F52-5A59-40F8-AAEE-8C6B90364249} - System32\Tasks\{BBCB7E8C-94AE-4593-9947-7A3BD43917C6} => pcalua.exe -a D:\Download\HL2\VENGEANCE\HL2Installer\hl2install.exe -d D:\Download\HL2\VENGEANCE\HL2Installer Task: {BC9E559C-256D-4018-BF0C-2A911C1FEEF6} - System32\Tasks\{C4F66CC5-48D8-45BA-8835-D2744891B926} => pcalua.exe -a C:\Users\GeoDeus\Downloads\kav9.0.0.736pl.exe -d C:\Users\GeoDeus\Downloads Task: {C977B334-266F-4877-82D6-D8F3075C0B7A} - System32\Tasks\{8A60DDEC-E3D4-4589-B9FE-073DC8B4E4EE} => E:\OFBE.exe Task: {D54284C1-8B81-4AA6-88F9-237DEA362A8A} - System32\Tasks\{CDBCAE87-4D81-4E7D-8318-38AECB9272FD} => msiexec.exe /package "C:\Users\GeoDeus\Downloads\setup(2).msi" Task: {E29C4BA1-8975-47FD-8B31-BBC2580FF0AB} - System32\Tasks\{8142B1C9-92BE-4381-9E5A-43E2C6452A7F} => pcalua.exe -a C:\Users\GeoDeus\Documents\Backup_karty_E75\Nokia_PC_Suite_7_0_9_2_EA.exe -d C:\Users\GeoDeus\Documents\Backup_karty_E75 Task: {EEF26A76-9C84-4C1B-BE50-E0379C95A7C0} - System32\Tasks\{7128B715-5988-456E-B879-E5A127E1F8D9} => pcalua.exe -a F:\K\Kodeki\k-lite\klcodec272f.exe -d F:\K\Kodeki\k-lite Task: {F13E36EC-A76B-44F0-BB34-CF60857CF30A} - System32\Tasks\{6E2A3BC0-76EB-4571-A4E4-DC1D0F0366AC} => E:\OFBE.exe Task: {F2C0228D-92DA-4FDE-9D05-5FAC9695C423} - System32\Tasks\{A60286BF-F3C7-417C-90E7-DC7A7AA6DFDE} => msiexec.exe /package "C:\Users\GeoDeus\Downloads\setup(2).msi" Task: {F69607F9-4353-47CA-B25E-7B034242BB9A} - System32\Tasks\{F6AF1B03-3C6C-4F18-8987-E3D1B453E0E6} => pcalua.exe -a "C:\Users\GeoDeus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QSEL537Y\godlozip[1].exe" -d C:\Users\GeoDeus\Desktop Task: {FA6B5E0C-2277-4411-93BE-C1172E10DA2B} - System32\Tasks\{EB234C9C-9840-433B-BDC8-F1B1B9629A7E} => pcalua.exe -a C:\Users\GeoDeus\Downloads\Nero-6.6.1.15c_wch.exe -d "C:\Program Files\Mozilla Firefox" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" U5 AppMgmt; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\Users\GeoDeus\AppData\Local\Temp\catchme.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BBSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DivXMediaServer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DivXUpdate DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\Program Files\RegCleaner RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Orange RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\UWdMU RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{A9733055-6FF4-4ACE-9696-E97EC65695D9} RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\GeoDeus\AppData\Local\Google\Chrome RemoveDirectory: C:\Users\GeoDeus\AppData\LocalLow\SecurePlugin RemoveDirectory: C:\Users\GeoDeus\AppData\Roaming\Shortcut RemoveDirectory: C:\Users\GeoDeus\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\GeoDeus\AppData\Local\*.html CMD: del /q C:\Users\GeoDeus\AppData\Local\{4F37DF4E-0FA9-4469-A76B-A58130B2B859} CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3.Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Akcje do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Java 7 Update 75 (64-bit), Java 8 Update 31 (64-bit), Java 8 Update 40 (64-bit), Java SE Development Kit 7 Update 75 (64-bit), PrivDog 2 Legacy Browser Plug-ins oraz SHAREit Lenovo (przypuszczalnie wymuszona instalacja). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin Edycja rozszerzona\The Witcher.lnk -> C:\Gry\The Witcher Enhanced Edition\launcher.exe (CD Projekt Red) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630 ShortcutWithArgument: C:\Users\Patryk_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630 ShortcutWithArgument: C:\Users\Patryk_2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630 ShortcutWithArgument: C:\Users\Patryk_2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630 ShortcutWithArgument: C:\Users\Patryk_2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630 ShortcutWithArgument: C:\Users\Patryk_2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630&q={searchTerms} HKU\S-1-5-21-3680470863-837635135-2748872348-1009\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630 HKU\S-1-5-21-3680470863-837635135-2748872348-1009\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630&q={searchTerms} SearchScopes: HKU\S-1-5-21-3680470863-837635135-2748872348-1009 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630&q={searchTerms} SearchScopes: HKU\S-1-5-21-3680470863-837635135-2748872348-1009 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449734008&z=9e06f432922dad23fa641a2gczczdtbm7caz3e1eft&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9DC835630&q={searchTerms} SearchScopes: HKU\S-1-5-21-3680470863-837635135-2748872348-1009 -> {C71907BF-3075-44A2-97AA-9ECBFC00F850} URL = BHO-x32: Brak nazwy -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-3680470863-837635135-2748872348-1009 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Task: {181106EE-28C3-4629-BE0F-DD750C22F6F1} - System32\Tasks\{AE91BA69-A1A4-4076-8DFB-FB08375530E6} => pcalua.exe -a H:\setup.exe -d H:\ Task: {4513674C-45F5-495A-8759-A759F6DB7E6A} - System32\Tasks\DropboxUpdateTaskUserS-1-5-21-3680470863-837635135-2748872348-1002UA => C:\Users\Patryk\AppData\Local\Dropbox\Update\DropboxUpdate.exe Task: {625A84C7-0AC1-4F0D-9E83-286E956A17A4} - System32\Tasks\{337D64FE-D5DA-40B1-934D-8E9D24CA6B1F} => pcalua.exe -a "C:\Program Files (x86)\Maxis\SimCity 4\eauninstall.exe" -d "C:\Program Files (x86)\Maxis\SimCity 4" Task: {7EFB6DDE-1C09-41AD-A196-9A8C8AA7E4FD} - System32\Tasks\DropboxUpdateTaskUserS-1-5-21-3680470863-837635135-2748872348-1002Core => C:\Users\Patryk\AppData\Local\Dropbox\Update\DropboxUpdate.exe Task: {D1EBEA14-C11C-4550-A18B-B25ACAE0C8A9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-09-24] (Lenovo) Task: {F8DC7B9A-8B64-4BC6-8549-513003E48C8A} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: C:\WINDOWS\Tasks\DropboxUpdateTaskUserS-1-5-21-3680470863-837635135-2748872348-1002Core.job => C:\Users\Patryk\AppData\Local\Dropbox\Update\DropboxUpdate.exe Task: C:\WINDOWS\Tasks\DropboxUpdateTaskUserS-1-5-21-3680470863-837635135-2748872348-1002UA.job => C:\Users\Patryk\AppData\Local\Dropbox\Update\DropboxUpdate.exe S1 {df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64; system32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys [X] R4 acedrv11; \??\C:\WINDOWS\system32\drivers\acedrv11.sys [X] S2 Privacy Content Firewall; "C:\Program Files\AdTrustMedia\PrivDog\3.0.108.0\PrivDogService.exe" [X] DisableService: Mobile Partner. RunOuc DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "SunJavaUpdateSched" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Wondershare Helper Compact.exe" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\DWdMD RemoveDirectory: C:\ProgramData\iWMiniProi RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stardock C:\Users\Administrator\Desktop\Customize Fences.lnk C:\Users\PW\Desktop\Customize Fences.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje operacje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
W Google Chrome nadal są adresy tego hijackera, więc Google Software Removal Tool nie rozwiązało problemu do końca. Poza tym, do czyszczenia są odpadki po odinstalowanych programach (Firefox, Wondershare). Działania do wdrożenia: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader X (10.1.13), ASUS WebStorage, Gadu-Gadu 10, Java 7 Update 71, Java 6 Update 33, MyFreeCodec. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\SWdMS\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 WsDrvInst; C:\Program Files (x86)\Wondershare\MobileTrans\DriverInstall.exe [X] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\The Witcher Enhanced Edition\The Witcher Enhanced Edition Director's Cut.lnk -> C:\GOG Games\The Witcher Enhanced Edition\launcher.exe (CD Projekt Red) -> hxxp://www.yoursites123.com/?type=sc&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\The Witcher 2\The Witcher 2 - Assassins of Kings Enhanced Edition.lnk -> C:\GOG Games\The Witcher 2\Launcher.exe (CD Projekt RED) -> hxxp://www.yoursites123.com/?type=sc&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX ShortcutWithArgument: C:\Users\O\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX ShortcutWithArgument: C:\Users\O\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX ShortcutWithArgument: C:\Users\O\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX ShortcutWithArgument: C:\Users\O\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX" CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-07-06] StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446927941&z=60a86bf69c7afea981bb931g0z3zeqbt1o7mcq0wac&from=cor&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku CustomCLSID: HKU\S-1-5-21-4082953895-1316987766-2457085210-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\O\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4082953895-1316987766-2457085210-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\O\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4082953895-1316987766-2457085210-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\O\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4082953895-1316987766-2457085210-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\O\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4082953895-1316987766-2457085210-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\O\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4082953895-1316987766-2457085210-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\O\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4082953895-1316987766-2457085210-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\O\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku Task: {0B383633-3803-40FE-84CE-A71A76654FDC} - \GoogleUpdateTaskMachineUA1ce7fa9862ca550 -> Brak pliku Task: {0DB03E12-E5C6-4018-AD89-EE4C83A0FFE6} - \Adobe Acrobat Update Task -> Brak pliku Task: {2D020D77-B17D-46FB-B71D-D85BCB93182D} - \GoogleUpdateTaskMachineUA1d041879acac158 -> Brak pliku Task: {55A7F832-7124-4F39-8D71-4D64D131FA64} - System32\Tasks\{99158B47-65AC-444E-BBF7-132FEF900C0D} => pcalua.exe -a C:\Users\O\Downloads\MobilePre_6_0_1_5_10_0_5131.exe -d C:\Users\O\Downloads Task: {803F41AD-55F2-49C5-B240-300FA28304D3} - \DeviceDetector -> Brak pliku Task: {814B7055-9581-469F-9672-36C625E8034C} - \ASUS Live Update -> Brak pliku Task: {9D6678B9-D978-497D-A83D-3AE1C90E31E6} - System32\Tasks\{F3EDFBDD-8E49-438A-8DE3-E9CDF146DED4} => pcalua.exe -a C:\Users\O\AppData\Local\Temp\18f03e0d-877e-4c71-a637-211858fe0e61\InstallShieldUninstaller.exe -d C:\Users\O\Downloads Task: {B22F1DC1-BCD7-4940-9CF1-48B2FDEB5C80} - \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task -> Brak pliku HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2072928 2014-10-31] (Wondershare) HKU\S-1-5-21-4082953895-1316987766-2457085210-1000\...\Run: [iSUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe -scheduler HKU\S-1-5-21-4082953895-1316987766-2457085210-1001\...\Run: [Remote Control Server] => C:\Program Files (x86)\Remote Control Server\Remote Control Server.exe HKU\S-1-5-21-4082953895-1316987766-2457085210-1001\...\Run: [GalaxyClient] => [X] HKU\S-1-5-21-4082953895-1316987766-2457085210-1001\...\Run: [GoogleChromeAutoLaunch_798739510D2FCBF438098B364BC5BD43] => C:\Users\O\AppData\Local\Google\Chrome\Application\chrome.exe [741704 2015-12-04] (Google Inc.) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUSWebStorage DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CCleaner Monitoring DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\Common Files\Wondershare RemoveDirectory: C:\ProgramData\4WdM4 RemoveDirectory: C:\ProgramData\Mozilla RemoveDirectory: C:\ProgramData\SWdMS RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\vWMiniProv RemoveDirectory: C:\Users\O\AppData\Local\Mozilla RemoveDirectory: C:\Users\O\AppData\Roaming\Mozilla C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\O\AppData\Roaming\.ptbt1 C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale Shortcut. Dołącz też plik fixlog.txt.
-
yoursites123 po raz kolejny :(
picasso odpowiedział(a) na trolololo123 temat w Dział pomocy doraźnej
Przeprowadź następujące akcje: 1. Deinstalacje: - Klawisz z Windows + X > Programy i funkcje > odinstaluj odpadek po usuniętym już McAfee: Shared C Run-time for x64. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\5WdM5\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] R4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] ShortcutWithArgument: C:\Users\Aga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516 ShortcutWithArgument: C:\Users\Aga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516 ShortcutWithArgument: C:\Users\Aga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516 CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516&q={searchTerms} HKU\S-1-5-21-230584855-1871568997-2477479041-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516&q={searchTerms} HKU\S-1-5-21-230584855-1871568997-2477479041-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516 HKU\S-1-5-21-230584855-1871568997-2477479041-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516 HKU\S-1-5-21-230584855-1871568997-2477479041-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649350&z=f0df68a003f99d2b693cad6g3z9zbt5q8z6t8c1cae&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9FD905516&q={searchTerms} BHO: Brak nazwy -> {a67b4363-a3cb-4d4b-8096-15e591237473} -> Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => Brak pliku ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => Brak pliku ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => Brak pliku ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => Brak pliku Task: {1EB73ECB-BD17-4C0A-966B-A25356D0FA2D} - System32\Tasks\{EC2002C0-EECA-4DC1-A46A-4A7B4B6ED139} => pcalua.exe -a C:\Users\Aga\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor Task: {6461DD60-6297-473E-9880-A457CF2877ED} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2013-09-25] (Lenovo) Task: {96E2AD16-89A2-4AB3-ADE0-83E1F30D80E5} - System32\Tasks\e-pity2015_styczen => F:\Programy\e-pity2014\Assets\signxml.exe Task: {9C35AF3D-9F6B-4852-A821-6489F3C63589} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe Task: {E17DB99A-861B-438B-BE35-545E52AB74AC} - System32\Tasks\e-pity2015_kwiecien => F:\Programy\e-pity2014\Assets\signxml.exe Task: {ED49699B-5BAE-4E70-8197-BDC5D9FC1E32} - System32\Tasks\{3C52BE1F-44AC-4801-94F9-2BA372C05B97} => pcalua.exe -a C:\Users\Aga\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor Task: {EEEDB4C9-F32D-497D-BD01-964DC19D2BC6} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "BlueStacks Agent" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\GridinSoft Anti-Malware RemoveDirectory: C:\Program Files (x86)\AVG RemoveDirectory: C:\Program Files (x86)\Kippt RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\5WdM5 RemoveDirectory: C:\ProgramData\FWdMF RemoveDirectory: C:\ProgramData\GridinSoft RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Aga\AppData\Local\Avg RemoveDirectory: C:\Users\Aga\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\Aga\Desktop\Stare dane programu Firefox C:\WINDOWS\system32\.crusader C:\WINDOWS\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. -
Wykonaj następujące operacje: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Karol\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\UWdMU\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S1 a2injectiondriver; \??\C:\Program Files (x86)\Ashampoo\Ashampoo Anti-Virus\a2dix64.sys [X] S1 a2util; \??\C:\Program Files (x86)\Ashampoo\Ashampoo Anti-Virus\a2util64.sys [X] S3 cleanhlp; \??\C:\Program Files (x86)\Ashampoo\Ashampoo Anti-Virus\cleanhlp64.sys [X] ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446112247&z=88e96396a7ea58e2ca761bbgbzfz5q8g4g9gatcbfq&from=cornl&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1432403238&z=8842e8e2290cf2ea840285dgczec3o3z8efcdo5c0g&from=cor&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1432403238&z=8842e8e2290cf2ea840285dgczec3o3z8efcdo5c0g&from=cor&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1432403238&z=8842e8e2290cf2ea840285dgczec3o3z8efcdo5c0g&from=cor&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1432403238&z=8842e8e2290cf2ea840285dgczec3o3z8efcdo5c0g&from=cor&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE&q={searchTerms} HKU\S-1-5-21-1826867425-3326814921-3507148508-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE&q={searchTerms} SearchScopes: HKU\S-1-5-21-1826867425-3326814921-3507148508-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE&q={searchTerms} SearchScopes: HKU\S-1-5-21-1826867425-3326814921-3507148508-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647985&z=8dd84dff958f350747fe074g2z8z7t7q9zcmct2beo&from=ient07021&uid=ST500LT012-9WS142_S0V37ELEXXXXS0V37ELE&q={searchTerms} SearchScopes: HKU\S-1-5-21-1826867425-3326814921-3507148508-1002 -> {7A2D9DF7-A5ED-45AB-A4D6-AF34BD412DF2} URL = BHO-x32: Jungle Net -> {dcfb5bfe-1f58-4b1d-96a7-3c7bbae51b36} -> C:\Program Files (x86)\Jungle Net\Extensions\dcfb5bfe-1f58-4b1d-96a7-3c7bbae51b36.dll => Brak pliku BHO-x32: Crazy Score -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> C:\Program Files (x86)\Crazy Score\Extensions\f439aa7e-a2a0-4635-99a2-164180e848ca.dll => Brak pliku Toolbar: HKU\S-1-5-21-1826867425-3326814921-3507148508-1002 -> Brak nazwy - {4F524A2D-5637-006A-76A7-7A786E7484D7} - Brak pliku FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\ie5bz74i.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\ie5bz74i.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\ie5bz74i.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\ie5bz74i.default\extensions\yahooprotected@gmail.com ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => Brak pliku ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => Brak pliku ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => Brak pliku ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => Brak pliku Task: {7E1C199C-3879-485F-BAB5-B9C2D12A9A37} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {D9431957-A715-48AE-A284-C9DDEC923CE7} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {FADA148A-27A5-424B-8E83-94CCDA37D6C3} - System32\Tasks\{FF1E3851-D923-4C58-915B-5BBB69DC30DE} => pcalua.exe -a "C:\Program Files\Microsoft Office 15\ClientX64\OfficeClickToRun.exe" -d C:\WINDOWS\system32 -c /user HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\MWdMM C:\ProgramData\Temp C:\ProgramData\UWdMU C:\Users\Karol\AppData\Roaming\TSv C:\WINDOWS\SysWOW64\pl.html Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\7WdM7\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652529&z=98d3079c6a5687c34494be1gczfz9t1q9w6o4w8c5e&from=ient07021&uid=TOSHIBAXMQ01ABF050_943NCFGITXX943NCFGIT ShortcutWithArgument: C:\Users\dell\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652529&z=98d3079c6a5687c34494be1gczfz9t1q9w6o4w8c5e&from=ient07021&uid=TOSHIBAXMQ01ABF050_943NCFGITXX943NCFGIT ShortcutWithArgument: C:\Users\dell\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652529&z=98d3079c6a5687c34494be1gczfz9t1q9w6o4w8c5e&from=ient07021&uid=TOSHIBAXMQ01ABF050_943NCFGITXX943NCFGIT ShortcutWithArgument: C:\Users\dell\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652529&z=98d3079c6a5687c34494be1gczfz9t1q9w6o4w8c5e&from=ient07021&uid=TOSHIBAXMQ01ABF050_943NCFGITXX943NCFGIT ShortcutWithArgument: C:\Users\dell\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652529&z=98d3079c6a5687c34494be1gczfz9t1q9w6o4w8c5e&from=ient07021&uid=TOSHIBAXMQ01ABF050_943NCFGITXX943NCFGIT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652529&z=98d3079c6a5687c34494be1gczfz9t1q9w6o4w8c5e&from=ient07021&uid=TOSHIBAXMQ01ABF050_943NCFGITXX943NCFGIT CHR HomePage: Profile 1 -> hxxp://www.yoursites123.com/?type=hp&ts=1449652529&z=98d3079c6a5687c34494be1gczfz9t1q9w6o4w8c5e&from=ient07021&uid=TOSHIBAXMQ01ABF050_943NCFGITXX943NCFGIT HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com CustomCLSID: HKU\S-1-5-21-2946510195-1381483075-2647567292-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\dell\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2946510195-1381483075-2647567292-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\dell\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2946510195-1381483075-2647567292-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\dell\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2946510195-1381483075-2647567292-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\dell\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2946510195-1381483075-2647567292-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\dell\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2946510195-1381483075-2647567292-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\dell\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2946510195-1381483075-2647567292-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\dell\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2946510195-1381483075-2647567292-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\dell\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2946510195-1381483075-2647567292-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\dell\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2946510195-1381483075-2647567292-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\dell\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Brak pliku Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Brak pliku Task: {40525C58-79C2-47A1-9AA2-F1D7FC4F0691} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {5B7E0015-165A-4BE5-8A54-D2BEA99066DB} - System32\Tasks\{59DDCD12-264B-45FE-8468-D653C69E8BF8} => pcalua.exe -a C:\Users\dell\Desktop\cwk252_setup.exe -d C:\Users\dell\Desktop Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Brak pliku Task: {7B1CC512-E4F8-41C6-9E1F-9F38C057FA64} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe Task: {89E5716A-0911-48A8-9633-AD29385DC717} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Brak pliku Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\7WdM7 RemoveDirectory: C:\ProgramData\cWdMc C:\WINDOWS\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.
-
Wygląda na to, że adware nabyłeś pobierając CollageIt z dobrychprogramów, tzn. przyczyną jest "Asystent pobierania" dobrychprogramów, na temat pobierania z tego portalu: KLIK. I w systemie jest o wiele więcej adware niż tylko zgłaszane przekierowania. System bardzo zaśmiecony. Próbując rozwiązać problem zainstalowałeś wątpliwy skaner SpyHunter. Działania do przeprowadzenia: 1. Odinstaluj: - Adware i wątpliwy skaner: Conduit Engine, SFT_eng7 Toolbar, Softonic Assistant, SpyHunter 4, vShare.tv plugin 1.3. - Stare wersje i zbędniki: Acrobat.com, Adobe AIR, Adobe Reader 9.5.3, Adobe Shockwave Player 11.6, AVG Web TuneUp, Badanie mające na celu poprawę produktów HP Deskjet 2540 series, Java 6 Update 39, Spybot - Search & Destroy, Windows Media Player Firefox Plugin. W Menu start wyszukaj też deinstalator Real Alternative. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT ShortcutWithArgument: C:\Users\Public\Desktop\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1448651802&z=96cf6dc7e5bfc168f2c6839g0z9z5b5qbw8gbm1t1t&from=cor&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT&q={searchTerms} HKU\S-1-5-21-1679813524-3586070068-693276116-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT HKU\S-1-5-21-1679813524-3586070068-693276116-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT&q={searchTerms} HKU\S-1-5-21-1679813524-3586070068-693276116-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-1679813524-3586070068-693276116-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT&q={searchTerms} HKU\S-1-5-21-1679813524-3586070068-693276116-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT URLSearchHook: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 - (Brak nazwy) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - Brak pliku URLSearchHook: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 - (Brak nazwy) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - Brak pliku SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT&q={searchTerms} SearchScopes: HKLM -> {25401C80-818F-475F-930F-EF6C67D6B85A} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByDyDyC0Dzz0FyBtBtB0ByD0EyBtN0D0Tzu0CtAyCyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=1468562263 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449688294&z=111d1fc6f9d5dc8f2e4f334g1z7z9t8q8b2bdoftec&from=ient07021&uid=TOSHIBAXMK2555GSX_796HTR8LTXX796HTR8LT&q={searchTerms} SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=297f0119-2c0a-11e1-936d-002556d8f722&q={searchTerms} SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031607 SearchScopes: HKLM -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={32D31ADC-EB9C-432F-A818-240BDF04D9F5}&mid=6e593e25bc0d47cdb00ed16b5f181377-44027868006105378dec04b70e9dda9e7db8b395&lang=en&ds=AVG&coid=avgtbavg&cmpid=1015tb&pr=pr&d=2015-09-27 13:43:08&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={32D31ADC-EB9C-432F-A818-240BDF04D9F5}&mid=6e593e25bc0d47cdb00ed16b5f181377-44027868006105378dec04b70e9dda9e7db8b395&lang=en&ds=AVG&coid=avgtbavg&cmpid=1015tb&pr=pr&d=2015-09-27 13:43:08&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 BHO: Brak nazwy -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> Brak pliku Toolbar: HKLM - Brak nazwy - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - Brak pliku Toolbar: HKU\.DEFAULT -> Brak nazwy - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - Brak pliku Toolbar: HKU\.DEFAULT -> Brak nazwy - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - Brak pliku Toolbar: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 -> Brak nazwy - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - Brak pliku Toolbar: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 -> Brak nazwy - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - Brak pliku Toolbar: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - Brak pliku CustomCLSID: HKU\S-1-5-21-1679813524-3586070068-693276116-1000_Classes\CLSID\{06EEE834-461C-42C2-8DCF-1502B527B1F9}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1679813524-3586070068-693276116-1000_Classes\CLSID\{23170F69-40C1-278A-1000-000100020000}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1679813524-3586070068-693276116-1000_Classes\CLSID\{4516CEE1-97DA-4030-A444-2D8E296B96B6}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1679813524-3586070068-693276116-1000_Classes\CLSID\{4DF0C730-DF9D-4AE3-9153-AA6B82E9795A}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1679813524-3586070068-693276116-1000_Classes\CLSID\{6F237DF9-9DDB-47AD-B218-400D54C286AD}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1679813524-3586070068-693276116-1000_Classes\CLSID\{942BC614-676C-464E-B384-D3202AAA02DA}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1679813524-3586070068-693276116-1000_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1679813524-3586070068-693276116-1000_Classes\CLSID\{FBF23B40-E3F0-101B-8488-00AA003E56F8}\InprocServer32 -> Brak ścieżki do pliku CHR HKLM\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files\vShare.tv plugin\vshareplg.crx [2011-08-31] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{3112ca9c-de6d-4884-a869-9855de68056c}] - C:\ProgramData\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c} FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\ssj8qhqw.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\ssj8qhqw.default\extensions\yahooprotected@gmail.com FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\ssj8qhqw.default\extensions\default_newtabff@gmail.com FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\40.1.8\\npsitesafety.dll [brak pliku] FF Plugin: @ganymede/MARBLES,version=1.0 -> C:\Program Files\Ganymede\Plugins\MARBLES\NPMARBLES.dll [2011-07-15] (Ganymede Technologies) FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-30] (Microsoft Corporation) FF Plugin: @real.com/nppl3260;version=6.0.12.448 -> C:\Program Files\Real Alternative\browser\plugins\nppl3260.dll [2009-10-09] (RealNetworks, Inc.) FF Plugin: @real.com/nprpjplug;version=6.0.12.448 -> C:\Program Files\Real Alternative\browser\plugins\nprpjplug.dll [2009-10-09] (RealNetworks, Inc.) FF Plugin HKU\S-1-5-21-1679813524-3586070068-693276116-1000: @Skype Limited.com/Facebook Video Calling Plugin -> C:\Users\Jacek\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll [brak pliku] Task: {0CE273D8-9E5C-47A6-84E1-140EA4441144} - System32\Tasks\{6BA5134D-A659-409D-BE2B-83950D46FE12} => pcalua.exe -a E:\Setup_Polish.exe -d E:\ Task: {18DFD9FC-082E-4E9B-8285-5F21D2B4EDAE} - System32\Tasks\Microsoft\Windows\MobilePC\TMM Task: {1E22FAAA-5038-4702-A146-81F5F9D06F60} - System32\Tasks\Microsoft\Windows\WindowsCalendar\Reminders - Jacek => C:\Program Files\Windows Calendar\wincal.exe Task: {3B63104E-982B-4E3F-BEB4-27A24DCF6EB6} - System32\Tasks\{FB5BDEA0-0852-4C81-B0B8-1B55439FDB42} => pcalua.exe -a "C:\Users\Jacek\Desktop\foto i video\profile_d2x\Nowy folder\P-OPCLS-D300-V100W.exe" -d "C:\Users\Jacek\Desktop\foto i video\profile_d2x\Nowy folder" Task: {5916F864-469C-4391-8604-E4EA141A2699} - System32\Tasks\Microsoft\Windows\Wireless\GatherWirelessInfo => C:\Windows\system32\gatherWirelessInfo.vbs Task: {5C238432-FB0E-474C-B770-158AD60531DD} - System32\Tasks\{2534EF34-B3BA-46EF-84E5-24C73C36713B} => pcalua.exe -a C:\Users\Jacek\Documents\VirtualDub-1.9.9(dobreprogramy.pl)\auxsetup.exe -d C:\Users\Jacek\Documents\VirtualDub-1.9.9(dobreprogramy.pl) Task: {7FF73A8C-EBE0-4307-9F93-AA40F03F487E} - System32\Tasks\{8115426D-D631-49EA-80C1-8AD3889D53A7} => pcalua.exe -a "C:\Users\Jacek\Desktop\foto i video\profile_d2x\Nowy folder\P-OPCPT-D300-V100W.exe" -d "C:\Users\Jacek\Desktop\foto i video\profile_d2x\Nowy folder" Task: {A9AA550C-A515-4E59-AAE9-124D4920E4FC} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe Task: {ACDD310F-57C1-44F1-B3DF-C2EB93C99D99} - System32\Tasks\Microsoft\Windows\Wired\GatherWiredInfo => C:\Windows\system32\gatherWiredInfo.vbs Task: {D3DB917E-A5E8-457B-AB8F-299346B95300} - System32\Tasks\Funmoods => C:\Users\Jacek\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE Task: {E8B6060E-86E8-43E1-B4C4-87409DABC30C} - System32\Tasks\{EC199803-2367-498E-BD1E-D3A4132B3586} => pcalua.exe -a "C:\Program Files\Common Files\InstallShield\Driver\7\Intel 32\IDriver.exe" -c /M{69EA6470-D4D3-49A3-89C8-0530C416ADB9} Task: {EB7930BB-286F-4706-B2BA-637A45EC77D5} - System32\Tasks\{1D7DABD6-71CE-4C6E-93DB-72831B7D6A5F} => pcalua.exe -a C:\Users\Jacek\AppData\Local\Temp\Temp2_VirtualDub-1.9.9(dobreprogramy.pl).zip\auxsetup.exe HKLM\...\Run: [] => [X] Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X] S3 AVG Security Toolbar Service; C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe [1025352 2011-07-26] () R2 MgAssistService; C:\Program Files\Mobogenie\MgAssist.exe [63168 2014-01-31] () [brak podpisu cyfrowego] R2 vToolbarUpdater40.1.8; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\40.1.8\ToolbarUpdater.exe [1875856 2015-10-04] (AVG Secure Search) R3 ALSysIO; \??\C:\Users\Jacek\AppData\Local\Temp\ALSysIO.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\AVG\AVG10 C:\Program Files\Mobogenie C:\Program Files\Mozilla Firefox\browser\searchplugins C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Common Files\AVG Secure Search C:\ProgramData\Google\Toolbar for Firefox C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\1WMiniPro1 C:\ProgramData\TEMP C:\Users\Jacek\AppData\Local\Mobogenie C:\Users\Jacek\AppData\LocalLow\prvlcl.dat C:\Users\Jacek\AppData\Roaming\yoursearching C:\Users\Jacek\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Jacek\Downloads\*-dp*.exe C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Yoursites123 problem jak u wszystkich
picasso odpowiedział(a) na daro33 temat w Dział pomocy doraźnej
Log FRST zrobiony na złym ustawieniu: sekcje MD5 sterowników i Lista BCD nie miały być zaznaczone. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player 10 ActiveX, Java 7 Update 80, Spybot - Search & Destroy oraz skaner z czarnej listy SpyHunter. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Darek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449817302&z=e4800af50e74e3c10ebc12bg7zfz7tfb9gam1o1b2t&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9EFB27606 ShortcutWithArgument: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449817302&z=e4800af50e74e3c10ebc12bg7zfz7tfb9gam1o1b2t&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9EFB27606 ShortcutWithArgument: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449817302&z=e4800af50e74e3c10ebc12bg7zfz7tfb9gam1o1b2t&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9EFB27606 ShortcutWithArgument: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449817302&z=e4800af50e74e3c10ebc12bg7zfz7tfb9gam1o1b2t&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9EFB27606 ShortcutWithArgument: C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449817302&z=e4800af50e74e3c10ebc12bg7zfz7tfb9gam1o1b2t&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9EFB27606 StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1449817302&z=e4800af50e74e3c10ebc12bg7zfz7tfb9gam1o1b2t&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9EFB27606 HKU\S-1-5-21-2779223565-3072923604-3403885278-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-2779223565-3072923604-3403885278-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449817302&z=e4800af50e74e3c10ebc12bg7zfz7tfb9gam1o1b2t&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9EFB27606 HKU\S-1-5-21-2779223565-3072923604-3403885278-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449817302&z=e4800af50e74e3c10ebc12bg7zfz7tfb9gam1o1b2t&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9EFB27606 SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-2779223565-3072923604-3403885278-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449817302&z=e4800af50e74e3c10ebc12bg7zfz7tfb9gam1o1b2t&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9EFB27606&q={searchTerms} SearchScopes: HKU\S-1-5-21-2779223565-3072923604-3403885278-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449817302&z=e4800af50e74e3c10ebc12bg7zfz7tfb9gam1o1b2t&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9EFB27606&q={searchTerms} SearchScopes: HKU\S-1-5-21-2779223565-3072923604-3403885278-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia S2 WdMan; C:\ProgramData\ZWdMZ\WdMan.exe -svr [X] HKLM-x32\...\Run: [] => [X] Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-2779223565-3072923604-3403885278-1000\...\Run: [RGSC] => C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent BootExecute: autocheck autochk * sdnclean64.exe Task: {A16E7232-CAB7-4651-B606-169C9691341E} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {D3CE16D8-074D-40B5-AC78-3E7CC01273B3} - System32\Tasks\{10CE2442-8C77-4636-936A-5C6279A31DBF} => pcalua.exe -a "C:\Users\Darek\Downloads\GTA.4.Razor1911\GTA.4-Razor1911\Grand Theft Auto IV PL 1.00.exe" -d C:\Users\Darek\Downloads\GTA.4.Razor1911\GTA.4-Razor1911 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eSpedytorek RemoveDirectory: C:\Users\Darek\Desktop\Stare dane programu Firefox C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (2).lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. -
Czy "dawno już nie ma" oznacza, że usunąłeś folder C:\FRST\Logs z archiwum? Nie, nowe logi nie są tu potrzebne, ja chcę się dowiedzieć jak się wykonało pierwsze usuwanie. Efekty częściowe widzę w głównych skanach FRST.txt + Addition.txt, ale nie wszystko co zadałam do usuwania było widoczne na tym poziomie. I nie odpowiedziałeś na pytanie dlaczego Fix FRST był uruchamiany dwa razy.
-
Naprawa Winsock została już wykonana specjalną komendą załączoną w skrypcie FRST. Druga sprawa: skrypty FRST są jednorazowego użytku, nie przetworzą ponownie tego samego. Co się działo podczas wykonywania skryptu FRST? Został uruchomiony aż dwa razy, przy czym podany tu log nie dość, że pokazuje iż nic nie znaleziono (skoro już wykonano w pierwszym podejściu), to na dodatek jest urwany. Poproszę o Fixlog z pierwszego podejścia. Wejdź do katalogu C:\FRST\Logs i sprawdź ile jest plików Fixlog_data_czas.txt. Interesuje mnie ten najstarszy. Po trzecie, komputer ma obecnie złą datę, cofnęła się kilka lat wstecz i logi zostały "przedatowane". Popraw datę komputera. Uruchomiony przez radeczek (administrator) RADEK2 (11-12-2013 01:06:54)
-
PoolBrowser.dll - Błąd RunDll nie można odnaleźć określonego modułu.
picasso odpowiedział(a) na Thunderpants temat w Dział pomocy doraźnej
W związku z tym, że narzędzie nie widziało tego wpisu, usunę go skryptem FRST. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{2318C2B1-4965-11d4-9B18-009027A5CD4F} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Po tej akcji "Google Toolbar for Internet Explorer" powinien zniknąć z listy Dodaj/Usuń. -
Temat przenoszę do działu Windows. Nie jest to problem infekcji. A z raportów nic nie wynika. Wyłączanie antywirusa to operacja która powoduje, że tylko pewna część się nie uruchamia (i to część akurat mniejsza wagowo), ale cała kupa usług i sterowników pozostaje aktywna. Jedyna 100% pewna metoda potwierdzenia związku z antywirusem to test z deinstalacją. I podejrzewam tu właśnie pakiet Norton Internet Security, bardzo rozbudowany i inwazyjny obiekt (jak większość softów zabezpieczających w czasach obecnych). Na próbę go odinstaluj, by się upewnić jak działa system bez niego i daj znać czy jest zmiana. Jeśli nie okaże się on przyczyną, po prostu go przywrócisz na miejsce. PS. Przy okazji sugeruję się pozbyć zestawu aplikacji Pokki (Host App Service, My To-Do List, Start Menu) preintegrowanego na Lenovo. Aplikacje marnej reputacji. A doczyszczaniem wpisów pustych po różnych deinstalacjach zajmę się potem, bowiem to nie ma żadnego znaczenia w kontekście zgłoszonych problemów.
-
Temat przenoszę do działu Windows. Brak oznak infekcji i opisywane problemy w ogóle nie są powiązane z infekcją. Nawiasem mówiąc, rootkit ZeroAccess już od bardzo dawna nie występuje w przyrodzie, zamknięto botnet ZA. Ogólnie to tu widać zaniedbany przestarzały system: - Nieoryginalny scrackowany XP (moduł antiwpa.dll + modyfikacja winlogon.exe). - Kompletny brak aktualizacji. Kombinacja SP2 + IE6! - Mierne zabezpieczenia zewnętrzne. Przestarzały antywirus ESET z roku 2009, również scrackowany. - Inwazyjne oprogramowanie emulujące napędy (Alcohol i DAEMON) jadące na przestarzałych sterownikach, które mogą generować różne problemy. Notabene, nie wykonałeś przed skanem GMER tego: KLIK. Ten problem z instalacją CCleaner był niedawno tu na forum, winą jest nieaktualizowany Windows (brak pakietu SP3 i reszty). I CCleaner tu nie ma nic do rzeczy w kwestii błędu STOP c000021a. Przyczyny STOP c000021a to m.in. złe wersje plików systemowych: KLIK. Z CCleaner to przypadek, po prostu pojawił się zaraz po innej akcji, która jest rzeczywistą przyczyną problemu, tzn. po crackowaniu Windows. Poniższy plik jest pozbawiony sygnatury Microsoftu, plik był modyfikowany, gdy na dysku mataczono z Wpa-Kill Sp3, modyfikacja wykonana minutę po rozpakowaniu ZIP cracka. Notabene crack w ogóle niekompatybilny, gdyż jak nazwa wskazuje przystosowany do SP3, zepsuł plik i tyle. C:\WINDOWS\system32\winlogon.exe [2006-03-02 13:00] - [2015-12-08 13:55] - 0504832 ____A (Microsoft Corporation) 033DFD0B69AF3FBC60138C0AC5C75042 ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2015-12-08 14:09 - 2015-12-08 15:24 - 00000000 ____D C:\Documents and Settings\Użytkownik\Pulpit\ccsetup512 2015-12-08 13:54 - 2015-12-08 13:54 - 00000000 ___DC C:\Documents and Settings\Administrator\Pulpit\Wpa-Kill Sp3(Attivazione Xp Service Pack 3)(1) 2015-12-08 12:28 - 2015-12-08 12:28 - 00037628 ____C C:\Documents and Settings\Administrator\Pulpit\Wpa-Kill Sp3(Attivazione Xp Service Pack 3)(1).rar ==================== Jeden miesiąc - zmodyfikowane pliki i foldery ======== 2015-12-08 13:55 - 2006-03-02 13:00 - 00504832 _____ (Microsoft Corporation) C:\WINDOWS\system32\winlogon.exe Operacje do wdrożenia: 1. Skopiować cenne dane na dysk zewnętrzny, na wypadek gdyby nie można już było wejść do Windows. Następnie odwrócić operację crackowania XP. To może zakończyć temat już w tym miejscu, tzn. nieaktywowany nielegalny XP nie pozwoli się już zalogować i więcej działań na nim nie będzie. Jak to obejść jest poza skalą forum. Nie wspieramy tu żadnych pirackich akcji. Jeśli etap z odkręcaniem się powiedzie, to dalsze czynności możliwe: 2. Deinstalacje: - Przez Dodaj/Usuń programy odinstaluj stare wersje: Adobe Flash Player 16 ActiveX, Adobe Flash Player 19 NPAPI, Adobe Shockwave Player 12.0, DAEMON Tools Lite, ESET NOD32 Antivirus, Google Toolbar for Internet Explorer, Java 6 Update 25, PC Tools Registry Mechanic 11.0. - Z poziomu Menu Start odinstaluj Alcohol 120%. - Po poprawnej deinstalacji Alcohola i DAEMONA odinstaluj sterownik SPTD narzędziem SPTDInst. - Wejdź w Tryb awaryjny i popraw narzędziem ESET Uninstaller. 3. Po w/w akcjach drobne doczyszczanie w spoilerze: 4. Do wykonania pełna aktualizacja Windows XP od A do Z: KLIK. 5. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się na czym stoimy.
-
Brak oznak infekcji w raportach FRST. Jeśli chodzi o odczyt GMER, to jest jakiś dziwny plik tymczasowy uruchamiany przez Java, nie wiadomo czy to jest infekcja. Natomiast problem mogą tworzyć: - Stary crack AutoKMS do aktywacji przypuszczalnie Office. Obiekty cracka odświeżały się ostatnio. Przy okazji, czy Microsoft Office Professional Plus 2010 jest w ogóle sprawny? Dużo pustych skrótów w Menu Start... 2015-12-10 18:34 - 2015-02-08 08:24 - 00002740 _____ C:\Windows\System32\Tasks\AutoKMSDaily 2015-12-10 18:34 - 2012-07-16 11:45 - 00000202 _____ C:\Windows\Tasks\AutoKMSDaily.job 2015-12-10 18:34 - 2012-07-16 11:45 - 00000202 _____ C:\Windows\Tasks\AutoKMS.job 2015-12-10 18:33 - 2012-07-16 11:44 - 00078848 _____ C:\Windows\KMSEmulator.exe - Strasznie stary (z roku 2009) i na dodatek scrackowany ESET. Crack zresztą generuje błędy w Dzienniku zdarzeń: Error: (12/10/2015 06:33:24 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Eset Trial Reset. 1. Usuń crack Office. W skrypcie FRST i tak załączę jego elementy na wypadek gdyby się okazało, że nie ma go jak wywalić. 2. Odinstaluj stare wersje: Adobe AIR, ESET NOD32 Antivirus, Java 7 Update 51, Opera 12.16, MyFreeCodec. Po deinstalacji ESET via Panel sterowania wejdź w Tryb awaryjny i popraw narzędziem ESET Uninstaller. 3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. 4. Kosmetyka po w/w akcjach. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {317BA108-DD1F-44B2-A778-80DE223B1A69} - System32\Tasks\{A08FF10D-054F-425C-8B98-657FBB4B649B} => pcalua.exe -a D:\Pobieranie\Setup.exe -d D:\Pobieranie Task: {3E5CC56E-E0F3-4992-9F28-015E2E3079AE} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS.exe [2012-07-16] () Task: {9C0D863B-BB77-44A0-B679-1AE43331CDDB} - System32\Tasks\{067CD6DD-34A0-4421-82F9-7B2152400419} => Firefox.exe hxxp://ui.skype.com/ui/0/6.18.0.106/pl/abandoninstall?page=tsProgressBar Task: {D3EA5758-9075-43B2-A5CC-3C8ED34229B0} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe [2012-07-16] () Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe Task: C:\Windows\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS.exe FF Plugin-x32: samsung.com/SamsungLinkPCPlugin -> C:\Program Files\Samsung\Samsung Link\utils\npSamsungLinkPCPlugin.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt => nie znaleziono DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\plugins Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SharePoint\Microsoft SharePoint Workspace 2010.lnk Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office\*.lnk Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office\Narzędzia pakietu Microsoft Office 2010 C:\Windows\AutoKMS.exe C:\Windows\KMSEmulator.exe C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup CMD: netsh advfirewall EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jak działa system po w/w akcjach deinstalacji.
-
Te programy Windows Live miały być usunięte tym sposobem:
-
Microsoft Office 15 odinstalowany i pełno problemów
picasso odpowiedział(a) na tomcio123 temat w Dział pomocy doraźnej
Czy dobrze rozumiem, że nie da się włączyć Przywracania systemu w: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznaczyć dysk C > Konfiguruj > zaznaczyć Przywróć ustawienia systemu oraz poprzednie wersje plików? Występuje jakiś konkretny błąd podczas tej akcji? -
coldsearch.com przekierowuje każde wyszukiwanie
picasso odpowiedział(a) na InsideLucy temat w Dział pomocy doraźnej
Sprecyzuj po pobraniu którego z pliku, instalatora Java czy deinstalatora Java? A komunikat wygląda na związany z JavaScript a nie Java. I jeśli cokolwiek było wykonywane, to poproszę o nowy log FRST z opcji Skanuj (Scan), włącznie z pliiem Addition. -
Pliki how_recover, samoistne usuwanie sie programów, zablokowany menedżer zadań...
picasso odpowiedział(a) na pawb0 temat w Dział pomocy doraźnej
Nie wygląda na to, by sfc skierowany na plik Windows Defender go naprawił. Poproszę o spis kopii pliku. Uruchom FRST, w polu Szukaj wklep mpsvc.dll, klik w Szukaj plików i dostarcz wynikowy log. -
Virus zaszyfrował pliki - ".vvv" Jak je odszyfrować?
picasso odpowiedział(a) na t6p temat w Dział pomocy doraźnej
Temat zamykam. Jeśli ktoś inny będzie potrzebował pomocy z tą infekcją (w zakresie doczyszczania plików infekcji), proszę założyć nowy temat zgodnie z zasadami: KLIK. -
Nieautoryzowana transakcja Paypal
picasso odpowiedział(a) na luckyskill temat w Dział pomocy doraźnej
Nie zaznaczyłeś pola Shortcut w oknie FRST, dlatego nie utworzył się. Te znaleziska AdwCleaner nie są powiązane, to tylko drobne szczątki adware. AdwCleaner to nie jest program do czyszczenia trojanów, adresuje tylko i wyłącznie typ adware i PUP. W systemie widać jakąś infekcję, w trzech miejscach: w katalogu Startup (ATIODE.url kierujący do ATIODE.exe) oraz dwa zadania w Harmonogramie (Security Update Checker + Virtual Disk Service Manager). Infekcja jest czynna (załadowany proces ATIODE.exe, notowany też jako podejrzany w GMER). Prawdopodobnie nabyłeś ją z jakiegoś cracka, bo widzę że była conajmniej jedna "kombinacja" tego typu. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: InternetURL: C:\Users\lucky\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ATIODE.url -> file:///C:\Users\lucky\AppData\Roaming\Microsoft\ATIODE.exe Task: {25F81A29-F1E7-430E-B1BD-CA2B1074A35F} - System32\Tasks\Virtual Disk Service Manager => C:\Users\lucky\AppData\Roaming\TS3Client\MSSvc\mssvc.exe Task: {7BEAB4D9-CE36-4D0F-BE1D-042A8331893A} - System32\Tasks\Driver Booster SkipUAC (lucky) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {E71B6B39-0F70-4C16-B860-C6F5002CD766} - System32\Tasks\Updates\Security Update Checker => C:\Users\lucky\AppData\Roaming\Microsoft\SysHex.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Updates CHR HKU\S-1-5-21-823081088-4079517195-30393728-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx BootExecute: autocheck autochk * C:\ProgramData\ddf2c5aa08022b15bbf75cb48d8afde6fd92b21c C:\Users\lucky\AppData\Local\Opera Software C:\Users\lucky\AppData\Roaming\Opera Software C:\Users\lucky\AppData\Roaming\services C:\Users\lucky\AppData\Roaming\Microsoft\*.exe C:\Users\lucky\Downloads\IOBit Driver Booster Pro 3.1.0.332 + Crack [s0ft4PC] C:\WINDOWS\Tasks\ImCleanDisabled C:\Windows\System32\Tasks\Updates Folder: C:\Users\lucky\AppData\Roaming\TS3Client CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z zaległym Shortcut. Dołącz też plik fixlog.txt. -
Potrzebuję nowe raporty po wykonaniu wszystkich operacji, by wiedzieć co wykonano, a zajmę się wtedy przywracaniem zakładek.
-
PUP.Optional.ConduitTB.Gen - prośba o skuteczne usunięcie
picasso odpowiedział(a) na TomaszXX temat w Dział pomocy doraźnej
To co wykrył MBAM to nieaktywne szczątki adware. Po prostu usuń za pomocą programu. W raportach nie widać oznak czynnej infekcji. Do wykonania tylko drobna kosmetyka wpisów pustych i czyszczenie Tempów oraz inne poboczne działania: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Reader X (10.1.13) MUI, Java 7 Update 71, Vtune 7.12. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () S2 Crypkey License; crypserv.exe [X] S2 TBPanel; Brak ImagePath S1 NetworkX; \SystemRoot\system32\ckldrv.sys [X] S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] U2 V2iMount; Brak ImagePath S2 vstor2; \??\C:\Program Files (x86)\Common Files\VMware\VMware Virtual Image Editing\vstor2.sys [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3608490240-1868706990-1820016235-1000\...\MountPoints2: {6ebf6d1e-aaec-11e4-8fa3-5404a67e773e} - G:\Autorun.exe Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku DPF: HKLM {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab Task: {336DCA45-C8D8-494C-B029-0C18001EF4DD} - System32\Tasks\{EC22CC1D-285E-47E1-B1F4-B67C16AE3B25} => pcalua.exe -a "C:\Users\Tata\Downloads\WinRARSDM (1).exe" -d C:\Users\Tata\Downloads Task: {C60B6348-8BFA-46DD-9BFE-46958FF6369C} - System32\Tasks\{D151405C-D82B-48C5-8A17-4DC5206F8106} => pcalua.exe -a F:\Setup.exe -d F:\ Task: {CD476D4D-9900-4B06-9B4F-91477EF8113D} - System32\Tasks\{3B942F5C-57DE-4D75-A8D8-34558D243596} => Chrome.exe hxxp://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar Task: {F697D657-973A-4018-B02C-5B850CCB9C05} - System32\Tasks\{EA0E78E4-F0B8-4979-A4F2-9A5C3BC13907} => pcalua.exe -a F:\WIN95\ENGLISH\Wizard.exe -d F:\WIN95\ENGLISH C:\Users\Tata\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Tata\Desktop\ProE szkolenie — skrót.lnk C:\Users\Tata\Desktop\Toshiba 500MB - 14-12-2013\EaseUS Partition Master 9.2.2.lnk C:\Users\Tata\Desktop\Toshiba 27_01_2014\EaseUS Partition Master 9.2.2.lnk C:\Users\Tata\Downloads\*.crdownload C:\Users\Tata\Downloads\*.tmp C:\Windows\SysWow64\Drivers\StarOpen.sys RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\found.000 RemoveDirectory: C:\found.001 CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne. -
yoursites123, picexa i inne ustrojstwa
picasso odpowiedział(a) na mechusar temat w Dział pomocy doraźnej
Deinstalacja Firefox nie usuwa jego profilu z dysku, pozostał z adware (gdybyś kiedyś instalował FF, załadowałoby się z tego profilu), więc trzeba będzie ręcznie doczyścić. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: S0 Lbd; system32\DRIVERS\Lbd.sys [X] Task: {75946C06-EE6C-485D-A163-E97AD5035C75} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe BHO-x32: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\Lavasoft RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java RemoveDirectory: C:\Users\Marcin\AppData\Local\Mozilla RemoveDirectory: C:\Users\Marcin\AppData\Roaming\Mozilla Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. -
Skoro przywróciłeś system, to teraz masz wykonać to:
-
PoolBrowser.dll - Błąd RunDll nie można odnaleźć określonego modułu.
picasso odpowiedział(a) na Thunderpants temat w Dział pomocy doraźnej
Wszystko zrobione. Teraz: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Toolbar for Internet Explorer > Dalej. 2. Nie zauważyłam, że Bonjour był rzekomo odinstalowany, a nadal tkwi w systemie. Otwórz Notatnik i wklej w nim: Winsock: Catalog5 04 C:\Program Files\Bonjour\mdnsNSP.dll [121704 2011-08-30] (Apple Inc.) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Bonjour RemoveDirectory: C:\Program Files\Gadu-Gadu RemoveDirectory: C:\Program Files\Google\Google Toolbar RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\Adobe Acrobat - Reader - Distiller Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Potwierdź, że internet działa po tej operacji.