picasso

Teraz: 1. Uruchom AdwCleaner ponownie, lecz tym razem dobierz akcje Skanuj + Usuń. Przedstaw log z czyszczenia. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Users\user\AppData\Local\Google\Chrome SxS Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Czyli również w przeglądarce Edge nie ma problemu? Kolejne poprawki: 1. W Firefox nadal jest hijacker. Nie została wykonana ta akcja: Wykonaj. 2. Następnie drobne poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 2.4 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 2.4 RemoveDirectory: C:\Users\Dżoana\AppData\Roaming\OpenOffice.org2 RemoveDirectory: C:\Users\Dżoana\Desktop\SpyHunter 4.20.9.4533 Eng 32 Bit Portable Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Czy wykonałeś podane zalecenia? Masz skorzystać z Przywracania systemu, a po tym wykonać akcje które podałam w moim pierwszym poście.

Był tu w obrotach szkodliwy "Asystent pobierania" dobrychprogramów, o czym świadczy plik w katalogu Temp. Na temat "Asystentów": KLIK. Działania do wdrożenia: 1. Odinstaluj starą wersję Adobe Flash Player 18 NPAPI. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} HKU\S-1-5-21-1299410582-2055644840-134518843-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 HKU\S-1-5-21-1299410582-2055644840-134518843-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms} SearchScopes: HKU\S-1-5-21-1299410582-2055644840-134518843-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1448999602&z=2a7f9ddf70c79c6ea490f7eg7zfz5bbtdt5tfm2w4e&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 CHR HomePage: Default -> hxxp://www.istartpageing.com/?type=hp&ts=1448999602&z=2a7f9ddf70c79c6ea490f7eg7zfz5bbtdt5tfm2w4e&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 CHR StartupUrls: Default -> "hxxp://www.istartpageing.com/?type=hp&ts=1448999602&z=2a7f9ddf70c79c6ea490f7eg7zfz5bbtdt5tfm2w4e&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178" CHR Session Restore: Default -> [funkcja włączona] FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\szekla\AppData\Roaming\Mozilla\Firefox\Profiles\e7glssvj.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\szekla\AppData\Roaming\Mozilla\Firefox\Profiles\e7glssvj.default\extensions\yahooprotected@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\szekla\AppData\Roaming\Mozilla\Firefox\Profiles\e7glssvj.default\extensions\default_newtabff@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 Task: {088ECF11-4F18-456B-93C5-4255F2177782} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-02] (Lenovo) HKLM\...\Run: [LenovoUtility] => "C:\Program Files\Lenovo\LenovoUtility\utility.exe" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartpageing uninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\ProgramData\8WdM8 RemoveDirectory: C:\ProgramData\8WMiniPro8 RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\Users\szekla\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\szekla\Desktop\Stare dane programu Firefox C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\szekla\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Firefox był co dopiero resetowany. Jeszcze Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Są tu liczne problemy, a nie tylko tytułowy hijacker: - Infekcja serwerów DNS, ustawione adresy izraelskie 199.203.131.145 - 82.163.143.167. - Więcej śladów adware. Metody nabycia tych śmieci: KLIK. - Okropnie stare antywirusy, Avira z 2007 i McAfee z 2009! To pozory zabezpieczeń. Należy zainstalować nowoczesnego antywirusa. - Dodatkowo, jest tu uszkodzenie Winsock sieciowego wynikające z brutalnego usunięcia pliku Avira z dysku. Akcje do przeprowadzenia: 1. Panel sterowania > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Przez Dodaj/Usuń programy odinstaluj stare wersje: Acrobat.com, Adobe Acrobat 5.0, Adobe AIR , Adobe Shockwave Player 11.5, Akamai NetSession Interface, Avira AntiVir PersonalEdition Premium, Java 7 Update 51, Java™ 6 Update 24, McAfee Agent, McAfee VirusScan Enterprise, Shockwave, Skaner on-line mks_vir Poza tym, wejdź do folderu C:\Program Files\DivX i sprawdź czy jest tam jakiś plik deinstalacyjny typu uninstall.exe / uninst.exe. Jeśli jest, uruchom go. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Documents and Settings\radeczek\Dane aplikacji\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) S4 Silly Shoulder; C:\Program Files\Silly Shoulder\Silly Shoulder.exe [8016171 2015-07-13] () [brak podpisu cyfrowego] R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\vWdMv\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] R1 StarOpen; C:\WINDOWS\system32\Drivers\StarOpen.sys [5632 2009-03-22] () [brak podpisu cyfrowego] S3 XDva104; \??\C:\WINDOWS\system32\XDva104.sys [X] S3 XDva110; \??\C:\WINDOWS\system32\XDva110.sys [X] S3 XDva115; \??\C:\WINDOWS\system32\XDva115.sys [X] S3 XDva120; \??\C:\WINDOWS\system32\XDva120.sys [X] S3 XDva123; \??\C:\WINDOWS\system32\XDva123.sys [X] S3 XDva129; \??\C:\WINDOWS\system32\XDva129.sys [X] S3 XDva136; \??\C:\WINDOWS\system32\XDva136.sys [X] S3 XDva143; \??\C:\WINDOWS\system32\XDva143.sys [X] S3 XDva145; \??\C:\WINDOWS\system32\XDva145.sys [X] S3 XDva152; \??\C:\WINDOWS\system32\XDva152.sys [X] S3 XDva166; \??\C:\WINDOWS\system32\XDva166.sys [X] S3 XDva168; \??\C:\WINDOWS\system32\XDva168.sys [X] S3 XDva170; \??\C:\WINDOWS\system32\XDva170.sys [X] S3 XDva176; \??\C:\WINDOWS\system32\XDva176.sys [X] ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox\Mozilla Firefox (Safe Mode).lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 ShortcutWithArgument: C:\Documents and Settings\radeczek\Pulpit\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 ShortcutWithArgument: C:\Documents and Settings\radeczek\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 ShortcutWithArgument: C:\Documents and Settings\radeczek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 Task: C:\WINDOWS\Tasks\Bidaily Synchronize Task.job => C:\Documents and Settings\All Users\Dane aplikacji\{5df37a25-3bc0-96cc-5df3-37a253bce894}\LoveROMs_Pokemon - Leaf Green Version (U) (V1.1).zip.exe Task: C:\WINDOWS\Tasks\Bidaily Synchronize Task[8da6].job => c:\documents and settings\all users\dane aplikacji\{01c71119-85f6-8fd7-01c7-7111985f4466}\hqghumeaylnlf.exe Task: C:\WINDOWS\Tasks\FileBlanket.job => c:\documents and settings\all users\dane aplikacji\{fb603cff-d076-486f-fb60-03cffd07f3ff}\8874022286382164022b.exe Task: C:\WINDOWS\Tasks\Superclean.job => c:\documents and settings\all users\dane aplikacji\{b59ef7de-c76e-d052-b59e-ef7dec76df7b}\hqghumeaylnlf.exe Task: C:\WINDOWS\Tasks\TowerPower.job => c:\documents and settings\all users\dane aplikacji\{b366fa38-6b1f-f840-b366-6fa386b1e8e1}\1896763150135686502b.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-19\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-20\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-1547161642-1078081533-725345543-1004\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1547161642-1078081533-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 HKU\S-1-5-21-1547161642-1078081533-725345543-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 HKU\S-1-5-21-1547161642-1078081533-725345543-1004\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1 DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 FF Plugin: @alawar.com/npapi -> C:\WINDOWS\npapi.dll [2014-01-29] (Alawar) FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\m87xbv78.default\extensions\sweetsearch@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\osa6yaax.default-1431643867046\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\osa6yaax.default-1431643867046\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\kcmad8jp.default-1441148422546\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\radeczek\Dane aplikacji\Mozilla\Firefox\Profiles\kcmad8jp.default-1441148422546\extensions\yahooprotected@gmail.com => nie znaleziono StartMenuInternet: firefox.exe - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449715966&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=126614527_135152_6C9D1686 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\yoursites123Software AlternateDataStreams: C:\WINDOWS\system32\main.cpl:SummaryInformation AlternateDataStreams: C:\WINDOWS\system32\main.cpl:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} AlternateDataStreams: C:\WINDOWS\system32\svchost.exe:SummaryInformation AlternateDataStreams: C:\WINDOWS\system32\svchost.exe:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Dane aplikacji\{03e1adb2-10c8-0} C:\Documents and Settings\All Users\Dane aplikacji\{0a6815b4-60c8-1} C:\Documents and Settings\All Users\Dane aplikacji\{0eae874a-7064-1} C:\Documents and Settings\All Users\Dane aplikacji\{11ddef97-2064-0} C:\Documents and Settings\All Users\Dane aplikacji\2298308877529526562 C:\Documents and Settings\All Users\Dane aplikacji\d517df3c00001fdc C:\Documents and Settings\All Users\Dane aplikacji\JWdMJ C:\Documents and Settings\All Users\Dane aplikacji\pWdsManProp C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\vWdMv C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{B966F6EA-D5B3-4B0C-B818-EA6371E8540E} C:\Documents and Settings\All Users\Menu Start\Programy\DivX C:\Documents and Settings\All Users\Menu Start\Programy\Realtek Sound Manager C:\Documents and Settings\radeczek\Dane aplikacji\InkjetPrinter C:\Documents and Settings\radeczek\Dane aplikacji\temp9538.txt C:\Documents and Settings\radeczek\Dane aplikacji\ud_soundmanager.ini C:\Documents and Settings\radeczek\Dane aplikacji\Opera Software C:\Documents and Settings\radeczek\Dane aplikacji\TSv C:\Documents and Settings\radeczek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (2).lnk C:\Documents and Settings\radeczek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (3).lnk C:\Documents and Settings\radeczek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\radeczek\Menu Start\Programy\Governor of Poker 2\Download More Free Full Games from FoxyGames.Info.lnk C:\Documents and Settings\radeczek\Menu Start\Programy\MumboJumbo\Luxor C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Akamai C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Documents and Settings\Gość\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Program Files\prefs.js C:\Program Files\DivX C:\Program Files\mozilla firefox\plugins C:\Program Files\SFK C:\Program Files\Silly Shoulder C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\StarOpen.sys CMD: ipconfig /flushdns CMD: netsh firewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zainstaluj Internet Explorer 8, gdyż wersja IE6 jest dziurawa: KLIK. Nie ma znaczenia, że nie korzystasz z IE. 6. Zrób nowe logi: FRST z opcji Skanuj (Scan) - ponownie z Addition, ale bez Shortcut - oraz zaległy GMER. Dołącz też plik fixlog.txt.

DelFix zrobił co należy. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam. I więlkie dzięki za ewentualną dotację.

Jeśli tak, to jak mówiłam należy przeinstalować Firefox. Sprawdź czy coś pomoże: Panel sterowania > Sieć i internet > Opcje internetowe > Zaawansowane > Resetuj. To było albo albo, a nie oba na raz. I nie podałeś raportu zoek-results.txt. Wątki poprzedniego systemu nie skończone. Zajmę się drugim komputerem potem.

DelFix zrobił co trzeba. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Wszystko zrobione. Kończymy: 1. Zastosuj DelFix do usunięcia używanych narzędzi: KLIK. 2. I poczytaj o tym skąd te świństwa wchodzą: KLIK.

W zasadach działu m.in. jest wyszczególnione, by nie podbijać tematu postami "pośpieszającymi", bo to nie przyśpieszy odpowiedzi. Jestem jedyną osobą udzielającą pomocy w tym dziale. Rozejrzyj się ile jest tematów do zrobienia, a analiza wymaga precyzji (czyli gdzieś około 20 minut na osobę na jeden post!). Był tu używany wątpliwy skaner z czarnej listy - SpyHunter, z daleka od niego. Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Java 7 Update 25, OpenOffice.org 2.4. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 WdMan; C:\ProgramData\eWdMe\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Dżoana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms} HKU\S-1-5-21-244760883-3783918540-4036241172-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms} BootExecute: autocheck autochk * sh4native Sh4Removal Task: {F0FDF603-356D-4708-8F13-842E0A16281F} - System32\Tasks\SpyHunter4Startup => F:\SpyHunter 4.20.9.4533 Eng 32 Bit Portable\SpyHunter 4.20.9.4533 Eng 32 Bit Portable\SpyHunter4.exe Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe C:\spyhunter.fix C:\ProgramData\eWdMe C:\ProgramData\SWdMS C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ff42i15r14e33f26o83x.lnk C:\Users\Dżoana\x.exe C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\pl.html C:\WINDOWS\SysWOW64\sh4native.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Poza tym, uruchom przeglądarkę Edge i potwierdź, że w niej nie występują te przekierowania.

Wszystko zrobione. Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Tak sądziłam, że chodzi Ci o Edge, to nie jest nowa wersja Internet Explorer, tylko całkowicie odrębna przeglądarka. Później sobie możesz poczytać o budowie przeglądarki: KLIK. Pierwsze podejście z czyszczeniem Edge + doczyszczenie szczątków wykrytych przez AdwCleaner: 1. Zamknij Edge. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\distromatic DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\DiscoveryApp DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\hdcode DeleteKey: HKLM\SOFTWARE\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\TSv DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro Reg: reg query "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" Reg: reg query "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom przeglądarkę Edge i podaj co widzisz.

Tu są także ślady niedoczyszczonej w przeszłości infekcji trojanem ZeroAccess. Operacje do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe AIR, Java 7 Update 71, JDownloader 0.9, Spybot - Search & Destroy. Ten JDownloader 0.9 to wygląda na niepoprawnie odinstalowany. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] HKU\S-1-5-21-2728440765-1480881117-2173122078-1000\...\Run: [bingSvc] => C:\Users\Kasia\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-13] (© 2015 Microsoft Corporation) HKU\S-1-5-21-2728440765-1480881117-2173122078-1000\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-2728440765-1480881117-2173122078-1000\...0c966feabec1\InprocServer32: [Default-shell32] C:\Users\Kasia\AppData\Local\{1d14c466-c6bb-92ce-2712-6ee7ce1b3d2d}\n.UWAGA! ====> ZeroAccess/Alureon? ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} HKU\S-1-5-21-2728440765-1480881117-2173122078-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX" Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe CustomCLSID: HKU\S-1-5-21-2728440765-1480881117-2173122078-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\cWdMc RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\Users\Kasia\AppData\Local\{1d14c466-c6bb-92ce-2712-6ee7ce1b3d2d} RemoveDirectory: C:\Users\Kasia\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Kasia\Desktop\Stare dane programu Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader*.lnk C:\Users\Kasia\AppData\Local\{4C4D9482-43D9-475E-8323-6FE1F5014ACC} C:\Users\Kasia\AppData\Local\BIT16B6.tmp C:\Users\Kasia\Desktop\JDownloader.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 4. Zrób nowe logi: FRST z opcji Skanuj (Scan) (ponownie z Addition ale już bez Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Zadania wkonane, za wyjątkiem ostatniej komendy FRST, przy przeklejaniu zjadło Ci literkę sys. Ostatnie poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\AppID\{85198F55-85AC-498A-BFE4-BBC33840F4AB} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\hdcode DeleteKey: HKLM\SOFTWARE\ihpmserver DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\sweet-pageSoftware DeleteKey: HKLM\SOFTWARE\mystartsearchSoftware DeleteKey: HKLM\SOFTWARE\RayDld DeleteKey: HKLM\SOFTWARE\TSv DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\zoek_backup CMD: del /q C:\Windows\system32\Drivers\fsbts.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Brakuje pliku fixlog.txt z wynikami przetwarzania skryptu. Uzupełnij.

Czy na pewno w poprawny sposób odinstalowałeś Mozilla Firefox 33.1.1 (x86 pl) przed użyciem skryptu? Pozycja nadal na liście zainstalowanych. I kolejne doczyszczanie: 1. Otwórz Notatnik i wklej w nim: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\S-1-5-21-3791551304-1605642030-3926548003-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\Clients\StartMenuInternet\FIREFOX.EXE DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox 33.1.1 (x86 pl) DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\FRST\Quarantine CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Tak, ja wiem że używasz Opery, bo jest to w raporcie (domyślna przeglądarka + uruchomione procesy). Po prostu Opera nie wymagała dodatkowego czyszczenia, w przeciwieństwie do Google Chrome. Wszystko zrobione. Kolejna porcja zadań: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko zrobnione. Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Usuń pobrane skanery i ich logi z folderu C:\Naprawa. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Miałeś wykonać tylko skanowanie AdwCleaner i nic za jego pomocą nie usuwać. AdwCleaner może mieć fałszywe alarmy i wyniki należy sprawdzić przed usuwaniem. Pośpieszyłeś się. Kończymy: Usuń z F:\Pobrane ściągnięty AdwCleaner i inne narzędzia. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Chyba nie przeczytałeś zasad działu kierujących do opisu tworzenia raportu FRST, w przeciwnym wypadku byś o to nie pytał... Instrukcja tworzenia raportów: KLIK.

Wszystko zrobione. Kończymy: 1. Uruchom narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Skasuj pobrany FRST i jego logi z folderu C:\Users\Admin\Desktop\Nowy folder. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Brakuje pliku FRST Shortcut. Uzupełnij.

Wymagane poprawki, adware Sound+ odinstalowało się tylko pozornie, poza tym jeszcze zostały inne odpadki. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [sound+] => C:\Program Files\Sound+\Sound+.exe [4143616 2015-10-23] (Sound+) Task: {37A3907D-962C-4A4D-92D7-003163F73A1F} - System32\Tasks\McAfee\McAfee Auto Maintenance Task Agent Task: {43CFC087-9338-485C-95F3-D2DCBF8EB3BD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-10-16] (Lenovo) Task: {A69C807B-D58D-4158-889F-D62493BBD6F2} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {B0E53FFA-C349-4153-8CB7-0886759B0EFA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-02] (Lenovo) S3 mfeaack; C:\Windows\system32\drivers\mfeaack.sys [413432 2015-08-10] (McAfee, Inc.) S3 mfencrk; C:\Windows\System32\DRIVERS\mfencrk.sys [111256 2015-08-12] (McAfee, Inc.) S2 mcbootdelaystartsvc; "C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe" /McCoreSvc [X] S2 mfemms; "C:\Program Files\Common Files\McAfee\SystemCore\\mfemms.exe" [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McNaiAnn => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\McAfee RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\mcafee RemoveDirectory: C:\Program Files\Sound+ RemoveDirectory: C:\Program Files\Common Files\McAfee RemoveDirectory: C:\Program Files (x86)\AVG RemoveDirectory: C:\Program Files (x86)\Freemake RemoveDirectory: C:\ProgramData\Apple RemoveDirectory: C:\ProgramData\Apple Computer RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\Freemake RemoveDirectory: C:\ProgramData\Orbit RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\Tmp0x0x RemoveDirectory: C:\Users\Barnej314\AppData\Local\Adobe RemoveDirectory: C:\Users\Barnej314\AppData\Local\Apple RemoveDirectory: C:\Users\Barnej314\AppData\Local\Apple Computer RemoveDirectory: C:\Users\Barnej314\AppData\Local\Avg RemoveDirectory: C:\Users\Barnej314\AppData\Roaming\Adobe RemoveDirectory: C:\Users\Barnej314\AppData\Roaming\Apple Computer RemoveDirectory: C:\Users\Barnej314\AppData\Roaming\AVG RemoveDirectory: C:\Users\Barnej314\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sound+ 1.0 RemoveDirectory: C:\Users\Barnej314\Downloads\DLL-Files Fixer 3.3.90.3079 Multilingual + Key [4realtorrentz] RemoveDirectory: C:\Windows\System32\Tasks\McAfee CMD: del /q C:\AVScanner.ini CMD: del /q C:\Users\Barnej314\pobierz_Daemon_tools_lite_32-64-bit_wersja_stabilna_V10.exe CMD: del /q C:\Users\Barnej314\Downloads\MCPR.exe CMD: del /q C:\Users\Barnej314\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Users\Barnej314\Downloads\SafariSetup.exe CMD: del /q C:\Users\Barnej314\Downloads\dffsetup.exe CMD: del /q "C:\Users\Barnej314\Downloads\DLL-Files Fixer 3.3.90.3079 Multilingual + Key [4realtorrentz].zip" CMD: del /q C:\Windows\system32\mfevtps.exe CMD: del /q C:\Windows\system32\drivers\mfeaack.sys CMD: del /q C:\Windows\System32\drivers\mfencrk.sys CMD: del /q C:\Windows\SysWOW64\taskSchedularLog.txt CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj), powstanie folder C:\AdwCleaner z logiem. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też fixlog.txt oraz log AdwCleaner. Wypowiedz się jak działa system i czy nadal występują problemy.

Nie wykonałeś poprawnie akcji i to nie są wyniki Fixlog ze skryptu który podałam. Uruchomiłeś inny Fix FRST z cudzego tematu i uszkodziłeś sobie aplikacje Lenovo. Skrypty są unikatowe, nie wolno pod żadnym pozorem brać skryptów z innych tematów. 1. Wykonaj Przywracanie systemu do czasu sprzed użycia tego felernego skryptu FRST. Wybierz punkt opisany jako "Instalacja pakietu sterownika urządzenia: Google, Inc.": ==================== Punkty Przywracania systemu ========================= 03-12-2015 21:33:28 Installed System Requirements Lab Detection 03-12-2015 21:55:30 Installed System Requirements Lab Detection 07-12-2015 21:04:09 Instalacja pakietu sterownika urządzenia: Google, Inc. 10-12-2015 18:45:59 Removed HP Update 10-12-2015 19:00:47 Restore Point Created by FRST 2. Następnie do wykonania wszystkie akcje rozpisane przeze mnie we wcześniejszym poście.

Być może problem tkwi w oprogramowaniu zabezpieczającym, czyli Avast SecureLine i/lub McAfee LiveSafe - Internet Security. W raportach nie ma już widocznej żadnej modyfikacji yoursites123 w konfiguracji Internet Explorer. A może chodzi Ci o Edge? Podczas jakiej czynności wyskakuje to przekierowanie? Pokaż zrzut ekranu. Na razie drobne korekty: 1. Otwórz Notatnik i wklej: DeleteKey: HKLM\SOFTWARE\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Mozilla Firefox RemoveDirectory: C:\Program Files\Opera RemoveDirectory: C:\ProgramData\653ac11b-b606-42c5-b357-bca0fd28d1cd RemoveDirectory: C:\ProgramData\8WMiniPro8 RemoveDirectory: C:\Users\agula adomus\AppData\Local\Opera Software RemoveDirectory: C:\Users\agula adomus\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\agula adomus\AppData\Roaming\Opera Software CMD: del /q "C:\Users\agula adomus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.