picasso
-
Postów
36 524 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez picasso
-
Drobne poprawki: 1. Nie została odinstalowana stara wersja Java 8 Update 51. Najnowszą wersję 66 zainstalujesz na szarym końcu. 2. Otwórz Notatnik i wklej w nim: Task: {C9D28723-FB8D-4509-9305-5BEAC625447B} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2015-12-09] (AVAST Software) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\yoursites123Software RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\Users\JM\AppData\Local\Viber RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software RemoveDirectory: C:\Windows\System32\Tasks\Lenovo CMD: del /q C:\Users\JM\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.
-
Brakuje głównego raportu FRST.txt. Uzupełnij.
-
Kolejne poprawki: 1. Nie zostały odinstalowane dwie pozycje: F-Secure Client Security, Java 6 Update 16. Czy jest jakiś problem z deinstalacją, pokazuje się jakiś błąd? W przypadku problemów uruchom Zoek i w oknie wklej: F-Secure Client Security;u Java 6 Update 16;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). 2. Otwórz Notatnik i wklej w nim: Task: {8A20BDBA-6D36-47AD-A57B-559C1F071667} - System32\Tasks\{00313BA0-A4E9-49BB-8C9B-778A52B84981} => pcalua.exe -a "C:\Program Files\F-Secure\Uninstall\fsuninst.exe" -c /UninstRegKey:"F-Secure Anti-Virus" BHO: Browsing Protection Class -> {C6867EB7-8350-4856-877F-93CF8AE3DC9C} -> C:\Program Files\F-Secure\NRS\iescript\baselitmus.dll => Brak pliku Toolbar: HKLM - Browsing Protection Toolbar - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - C:\Program Files\F-Secure\NRS\iescript\baselitmus.dll Brak pliku CMD: netsh advfirewall reset Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{F4B9AB2B-ED96-4444-B391-1E0DA906E0FB}" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\F-Secure RemoveDirectory: C:\ProgramData\fssg RemoveDirectory: C:\Users\Jacek\AppData\Local\Adobe RemoveDirectory: C:\Users\Jacek\Desktop\Stare dane programu Firefox CMD: del /q C:\Windows\system32\Drivers\fsbts.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.
-
Drobna poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4C4396A8-6F7A-4786-9ED6-0B9225862E57} DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\mozilla firefox\plugins RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\Windows\System32\Tasks\Lenovo CMD: del /q "C:\Users\Paweł Świątek\Desktop\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.
-
Wszystko zrobione. Jeszcze mała poprawka. Otwórz Notatnik i wklej w nim: S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\yoursites123Software RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.
-
Wszystko pomyślnie wykonane. Teraz jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.
-
Wymagane poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Picexa DeleteKey: HKLM\SOFTWARE\yoursites123Software S2 IhPul; C:\Users\Joe\AppData\Roaming\TSv\TSvr.exe [X] S2 PicexaService; C:\Program Files\Picexa\PicexaSvc.exe [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\Users\Joe\AppData\Roaming\Picexa Viewer CMD: del /q "C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk" CMD: del /q C:\Users\Public\Desktop\Picexa.lnk CMd: del /q C:\WINDOWS\system32\pl.html Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.
-
Posty dla porządku połączyłam, ale odpowiadaj mi już w nowym poście. Stosowałeś ComboFix i na ten temat: KLIK. To nie jest nawet dobre narzędzie do czyszczenia adware, są inne bardziej specjalizowane, np. AdwCleaner (również tu stosowany). Zainstalowałeś także lewy skaner z czarnej listy SpyHunter. Do przeprowadzenia następujące działania: 1. Odinstaluj starą dziurawą wersję Adobe AIR oraz wątpliwe skanery SpyHunter, SpyHunter 4. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3406099390-1331833789-2179768664-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 HKU\S-1-5-21-3406099390-1331833789-2179768664-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3406099390-1331833789-2179768664-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3406099390-1331833789-2179768664-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {68D29CC4-6030-4A3D-B273-44DB5BB254D1} - \SW-Booster-S-792098896 -> Brak pliku S3 catchme; \??\C:\Users\MICHA~1\AppData\Local\Temp\catchme.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x32.sys [X] S1 tcfd_vt_1_10_0_22; system32\drivers\tcfd_vt_1_10_0_22.sys [X] S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] C:\Users\Ania\Desktop\Media Player Classic.lnk C:\Users\Ania\Desktop\PTE Patch.lnk C:\Users\Ania\Desktop\The Sims 4.lnk C:\Users\Michał\Desktop\TMP SELECTOR.lnk C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Michał\AppData\Local\Temp.dat C:\Windows\system32\pl.html RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ComboFix RemoveDirectory: C:\Qoobox RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KeyTweak RemoveDirectory: C:\Users\Michał\Desktop\Stare dane programu Firefox DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W systemie są dwa konta, na razie było sprawdzane tylko jedno (Michał): ==================== Konta użytkowników: ============================= Ania (S-1-5-21-3406099390-1331833789-2179768664-1001 - Administrator - Enabled) => C:\Users\Ania Michał (S-1-5-21-3406099390-1331833789-2179768664-1000 - Administrator - Enabled) => C:\Users\Michał Po kolei zaloguj się na każde poprzez pełny restart systemu (a nie Wyloguj czy Przełącz użytkownika) i na każdym zrób nowy log FRST z opcji Skanuj (Scan) z Addition, ale już bez Shortcut. Czyli po dwa logi FRST z każdego konta, w sumie 4. Dołącz też plik fixlog.txt.
-
Poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\zoek_backup CMd: del /q C:\Users\Slawomir\Downloads\fo0wh4cc.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.
-
Zasady działu: KLIK. Tu jest zakaz podpienia się się. Temat wydzielony w osobny. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 ihpmServer; C:\Program Files\RayDld\ihpmServer.exe [271592 2015-11-19] (Ray you) R2 IhPul; C:\Users\Eko Helios PDK\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\HWdMH\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X] S2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X] S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] ShortcutWithArgument: C:\Users\Eko Helios PDK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT ShortcutWithArgument: C:\Users\Eko Helios PDK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT ShortcutWithArgument: C:\Users\Eko Helios PDK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartpageing.com/web/?type=ds&ts=1448291730&z=e38733ac16a192110914105g2z4z3b3o3t9g2m8cbe&from=cornl&uid=toshibaxmk2546gsx_28omc0qitxx28omc0qit&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartpageing.com/web/?type=ds&ts=1448291730&z=e38733ac16a192110914105g2z4z3b3o3t9g2m8cbe&from=cornl&uid=toshibaxmk2546gsx_28omc0qitxx28omc0qit&q={searchTerms} HKU\S-1-5-21-3618850881-1739361237-2590381527-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT&q={searchTerms} HKU\S-1-5-21-3618850881-1739361237-2590381527-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.pl/ HKU\S-1-5-21-3618850881-1739361237-2590381527-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT HKU\S-1-5-21-3618850881-1739361237-2590381527-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT&q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1448290114&z=a74c789253ec07611735527g1z2z0b3ofb7t9m4tab&from=cor&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Task: {01D1A698-1985-4E48-AE43-588DBA18E966} - System32\Tasks\Opera N Saturday => C:\Program Files\Opera\launcher.exe Task: {01E9A868-B37A-46C0-8AF1-9D8A36263667} - System32\Tasks\{812A6AC1-8156-4A46-BEE2-46B9FABB3AB5} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {183BB776-2F68-49F3-9DAE-020A792C03CF} - System32\Tasks\Opera N Sunday => C:\Program Files\Opera\launcher.exe Task: {E39CE3A4-1683-4624-A082-8BD5FCEA5414} - System32\Tasks\{3B524084-A09A-4299-9467-D82A213B0C93} => pcalua.exe -a "C:\Users\Eko Helios PDK\AppData\Roaming\istartsurf\UninstallManager.exe" -c -ptid=cor DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\yoursites123Software C:\Program Files\Google C:\Program Files\Mozilla Maintenance Service C:\Program Files\Opera C:\Program Files\RayDld C:\Program Files\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\AVAST Software C:\ProgramData\HWdMH C:\ProgramData\SWMiniProS C:\ProgramData\rWdMr C:\ProgramData\XWMiniProX C:\Users\Eko Helios PDK\AppData\Local\Adobe C:\Users\Eko Helios PDK\AppData\Local\Google C:\Users\Eko Helios PDK\AppData\Local\Opera Software C:\Users\Eko Helios PDK\AppData\Local\Thunderbird C:\Users\Eko Helios PDK\AppData\Roaming\istartsurf C:\Users\Eko Helios PDK\AppData\Roaming\Mozilla C:\Users\Eko Helios PDK\AppData\Roaming\Opera Software C:\Users\Eko Helios PDK\AppData\Roaming\Shortcut C:\Users\Eko Helios PDK\AppData\Roaming\sweet-page C:\Users\Eko Helios PDK\AppData\Roaming\Thunderbird C:\Users\Eko Helios PDK\AppData\Roaming\TSv C:\Windows\system32\pl.html Folder: C:\Device CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.
-
yoursites123, picexa i inne ustrojstwa
picasso odpowiedział(a) na mechusar temat w Dział pomocy doraźnej
Nie tylko adware jest w systemie, ale także BitCoin Miner (update.vbe w folderze Origin). Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare wersje oraz adware: Ad-Aware, Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Flash Player 16 NPAPI, Adobe Reader 9.5.1, Java 7 Update 60, Java 6 Update 31, Picexa, Windows Media Player Firefox Plugin. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IhPul; C:\Users\Marcin\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\SWdMS\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S2 TBPanel; Brak ImagePath S4 sptd; System32\Drivers\sptd.sys [X] ShortcutWithArgument: C:\Users\Marcin\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (2).lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms} HKU\S-1-5-21-783910324-3587200081-1645618152-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 HKU\S-1-5-21-783910324-3587200081-1645618152-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448351647&z=b0424a5fa841dca3a0a899dgczez7b4c2w9gaq9z0t&from=ient07031&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms} HKU\S-1-5-21-783910324-3587200081-1645618152-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-783910324-3587200081-1645618152-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-783910324-3587200081-1645618152-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445799323&z=0350992d013489d4ca88de5g5z6z9wcm8t1tfe6m3g&from=cor&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\trp6l1v0.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\trp6l1v0.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\trp6l1v0.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\trp6l1v0.default\extensions\yahooprotected@gmail.com HKU\S-1-5-21-783910324-3587200081-1645618152-1000\...\Run: [AdobeBridge] => [X] BootExecute: autocheck autochk * lsdelete Task: {0730D217-84E4-4D1A-AAF8-67CC1E444B46} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-pity2013\Assets\signxml.exe Task: {1A875333-9F1C-4A6B-929E-AD835FD19B03} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-pity2013\Assets\signxml.exe Task: {3099429E-146B-4237-8884-043496B23777} - System32\Tasks\{5ADAAAD2-826B-4360-9936-1F8FC9D6CB94} => pcalua.exe -a "D:\downloaded\Firefox Setup 3.5.2.exe" -d D:\downloaded Task: {8185E9D9-3F14-4E4F-B463-D3330988B2C9} - System32\Tasks\{80B52C98-AF62-4CF9-8BD4-8472A535D106} => pcalua.exe -a "D:\downloaded\QuickTimeInstaller (1).exe" -d D:\downloaded Task: {926FAB81-9338-4DDD-9DF3-E17E41A1E135} - System32\Tasks\Origin => C:\Users\Marcin\AppData\Roaming\Origin\update.vbe [2013-09-14] () Task: {BB923080-3E54-44A1-987F-B5EAECD48ED7} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {E0C48729-1B09-4A4A-9711-6F3FD6E1C054} - System32\Tasks\{A651A07A-7B58-4043-900E-D0DC605F2839} => pcalua.exe -a D:\downloaded\jre-6u25-windows-i586-iftw.exe -d D:\downloaded Task: {F6E40269-4841-4ECF-B23C-13A30E7F0A22} - System32\Tasks\{BBECB86D-9273-4248-A35C-4A824E96D8BB} => pcalua.exe -a C:\Users\Marcin\Downloads\QuickTimeInstaller.exe -d C:\Users\Marcin\Downloads DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesHelper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPDLR DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Picexa C:\Program Files (x86)\SFK C:\Program Files (x86)\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\ywchkrhdsxpmnal C:\ProgramData\nWMiniPron C:\ProgramData\SWdMS C:\ProgramData\ZWdMZ C:\ProgramData\vWMiniProv C:\ProgramData\XWMiniProX C:\Users\Marcin\AppData\Local\Lenovo C:\Users\Marcin\AppData\Roaming\Origin\update.vbe C:\Users\Marcin\AppData\Roaming\TSv C:\Users\UpdatusUser\Desktop\SopCast.lnk C:\Windows\temp023423.vbe C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. -
Operacje do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player ActiveX, Java 8 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\3WdM3\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 WinRing0_1_2_0; \??\D:\Program Files\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] HKU\S-1-5-21-1993643628-1500383753-3481848954-1000\...\Run: [bingSvc] => C:\Users\Admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\kkjin8gu.default-1431425513148\extensions\sidebarff@gmail.com => nie znaleziono Task: {5B4DB020-4B43-467F-B9FF-6179AC13F1BA} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {923A6ED5-9C7A-494D-9C17-4096DB4D4350} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {B6305A56-AFA3-4D58-9AC4-FADC8CAF1747} - System32\Tasks\Game_Booster_AutoUpdate => D:\Program Files\IObit\Game Booster 3\AutoUpdate.exe C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\3WdM3 C:\ProgramData\FWdMF C:\ProgramData\iWdMi C:\Users\Admin\AppData\Local\Google C:\Users\Admin\AppData\Local\Microsoft\BingSvc C:\Windows\SysWOW64\pl.html Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\yoursites123Software /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Mam napisane w profilu, że nie należy się ze mną kontaktować via PW w kwestii usuwania infekcji, od tego jest tylko i wyłącznie ten dział forum. PW nie przyśpieszy spraw, zajmuję się tematem tylko i wyłącznie, gdy jestem w stanie. Zastosowałeś Fix FRST z cudzego tematu - skrypty są unikatowe i pasują tylko i wyłącznie do systemu z którego powstały logi, można sobie uszkodzić system wykonując skrypt z innego tematu. Skutki: zadania nie wykonane, bo u Ciebie w systemie nie ma takich elementów. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Waldek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740949&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A ShortcutWithArgument: C:\Users\Waldek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740949&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A ShortcutWithArgument: C:\Users\Waldek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740949&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A ShortcutWithArgument: C:\Users\Waldek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740949&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A ShortcutWithArgument: C:\Users\Waldek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740949&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A ShortcutWithArgument: C:\Users\Waldek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740949&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A ShortcutWithArgument: C:\Users\Waldek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740949&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A ShortcutWithArgument: C:\Users\Waldek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740949&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740949&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740949&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449740949&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1444495560&z=0b8558a768e27b8caaf4c43g9z1z9zfzft3w3c4w3c&from=cor&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740949&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740949&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740949&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient07021&uid=SamsungXSSDX850XEVOX250GB_S21PNXAG690052A&q={searchTerms} SearchScopes: HKU\S-1-5-21-516307512-3792544153-365543194-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-516307512-3792544153-365543194-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE C:\Program Files\Enigma Software Group C:\Program Files (x86)\GUT935A.tmp C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\iWdMi C:\ProgramData\nWdMn C:\Users\Waldek\AppData\Local剜捯獫慴慇敭屳呇⁁屖湥楴汴浥湥湩潦 C:\Users\Waldek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Waldek\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Waldek\AppData\Roaming\TSv C:\Users\Waldek\Downloads\SpyHunter-Installer.exe Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\yoursites123Software /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Wszystko wykonane pomyślnie, hijacker usunięty, a te odczyty "Brak pliku" to naprawdę fałszywe alarmy. Teraz jeszcze na wszelki wpadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.
-
DelFix wykonał robotę. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.
-
Wszystko zrobione. Niemniej pojawił się dziwny odczyt w logu o wyłączonych Usługach kryptograficznych - grzebałeś coś ręcznie? Poprawki. Otwórz Notatnik i wklej w nim: CMD: sc config CryptSvc start= auto CMD: sc start CryptSvc S3 MEMSWEEP2; \??\C:\Windows\system32\6A19.tmp [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Users\Artur\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Artur\Downloads\the-man-in-the-high-castle-the-new-world.exe CMD: del /q C:\Users\Artur\Downloads\the-martian-pol-6345157.exe CMD: del /q C:\Users\Artur\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Users\Artur\Downloads\SpywareTerminatorSetup.exe CMD: del /q C:\Users\Artur\Downloads\Universe*.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.
-
Po prostu plik fixlist.txt ma być w tym samym folderze skąd uruchamiasz FRST. W tym przypadku w katalogu Pobrane.
-
Używałeś wątpliwego skanera STOPzilla!. Do przeprowadzenia następujące operacje: 1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 10 ActiveX, Adobe Flash Player 19 NPAPI, Adobe Reader 9.1 - Polish, Bing Bar, Java 6 Update 16 oraz całą grupę F-Secure Client Security. Antywirus okropnie stary (datowanie określonych komponentów na rok 2010), potem uzupełnisz wybranym najnowszym. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Jacek\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 WdMan; C:\ProgramData\HWdMH\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S4 ApRunSvc; C:\Program Files\Apoint2K\ApRunSvc.exe [X] ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Programy\Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130941638600239736&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX&q={searchTerms} HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://www.lenovo.com/welcome/thinkpad HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130941638601331738&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX&q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2299845786-1738946570-1275540735-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX&q={searchTerms} Toolbar: HKU\S-1-5-21-2299845786-1738946570-1275540735-1003 -> Brak nazwy - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Brak pliku DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab FF HKLM\...\Firefox\Extensions: [litmus-ff@f-secure.com] - C:\Program Files\F-Secure\NRS\litmus-ff@f-secure.com FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\u8kotcia.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\u8kotcia.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\u8kotcia.default\extensions\default_newtabff@gmail.com FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\u8kotcia.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Programy\Firefox\firefox.exe HKLM\...\Run: [] => [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\yoursites123Software C:\Program Files\iS3 C:\Program Files\Common Files\653ac11b-b606-42c5-b357-bca0fd28d1cd C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\653ac11b-b606-42c5-b357-bca0fd28d1cd C:\ProgramData\4WMiniPro4 C:\ProgramData\BWdMB C:\ProgramData\HWdMH C:\ProgramData\STOPzilla! C:\Users\Jacek\AppData\Roaming\TSv C:\Windows\system32\pl.html C:\Users\Jacek\Downloads\STOPzillaPRO_Downloader.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używany bloker reklam trzeba będzie przeinstalować (Adblock Plus lub uBlock Origin, dwa na raz to za dużo). Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.
-
PoolBrowser.dll - Błąd RunDll nie można odnaleźć określonego modułu.
picasso odpowiedział(a) na Thunderpants temat w Dział pomocy doraźnej
W końcu dostarczone poprawne raporty. Tytułowy błąd produkuje odpadek adware w Harmonogramie zadań, ale jest tu nieco więcej do roboty w zakresie odpadków oraz starych aplikacji z groźnymi lukami. Przechodzimy do czyszczenia systemu: 1. Przez Dodaj/Usuń programy odinstaluj stare programy: Ad-Aware 2007, Adobe Acrobat 5.0 CE, Adobe AIR, Adobe Flash Player 19 ActiveX, Adobe Flash Player 19 NPAPI, Adobe Reader 9.5.5 - Polish, Gadu-Gadu 7.1, Google Toolbar for Internet Explorer, J2SE Runtime Environment 5.0 Update 6, Java 2 Runtime Environment, SE v1.4.2_11 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Aras\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\Pool Browser.job => C:\WINDOWS\system32\rundll32.exeeC:\Documents and Settings\Aras\Local Settings\Application Data\Pool Browser\Bin\PoolBrowser.dll GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-1390067357-1677128483-1060284298-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1390067357-1677128483-1060284298-1003\Software\Microsoft\Internet Explorer\Main,Strona wyszukiwania = hxxp://www.msn.com/access/allinone.asp HKU\S-1-5-21-1390067357-1677128483-1060284298-1003\Software\Microsoft\Internet Explorer\Main,Strona początkowa = hxxp://www.microsoft.com/msoffice/ HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "www.google.com" SearchScopes: HKU\S-1-5-21-1390067357-1677128483-1060284298-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1390067357-1677128483-1060284298-1003 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Brak nazwy -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> Brak pliku DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab DPF: {CAFEEFAC-0014-0002-0011-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-21-1390067357-1677128483-1060284298-1003\...\Run: [PowerBar] => [X] HKU\S-1-5-21-1390067357-1677128483-1060284298-1003\...\Policies\system: [HideLegacyLogonScripts] 0 HKU\S-1-5-21-1390067357-1677128483-1060284298-1003\...\Policies\system: [HideLogoffScripts] 0 HKU\S-1-5-21-1390067357-1677128483-1060284298-1003\...\Policies\system: [HideStartupScripts] 0 BootExecute: autocheck autochk * lsdelete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\aawservice => ""="Service" S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S4 HWDeviceService.exe; C:\Documents and Settings\All Users\Dane aplikacji\DatacardService\HWDeviceService.exe -/service [X] S4 LGII2CDevice; \??\C:\Program Files\LG Soft India\forteManager\bin\PII2CDriver.sys [X] S2 WIBUKEY; Brak ImagePath U3 Winsock - Google Desktop Search Backup Before First Install; Brak ImagePath U3 Winsock - Google Desktop Search Backup Before Last Install; Brak ImagePath C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\Picasa 3 C:\Documents and Settings\Aras\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Picasa 3.lnk C:\Documents and Settings\Aras\Menu Start\Programy\All To MP3 Converter\All To MP3 Converter Help.lnk C:\Documents and Settings\Aras\Start Menu\Programs\Browser Manager C:\Program Files\Mozilla Firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan) - zaznacz pole Addition, by powstały dwa logi, trzeci Shortcut nie jest mi już potrzebny. Dołącz też plik fixlog.txt. -
Nazwy logów FRST.txt i Addition.txt wskazują, że je wyciągasz z folderu C:\FRST\Logs - to archiwum, bieżące logi są zawsze w folderze z którego uruchamiano FRST, w tym przypadku folder Pobrane. Prócz tytułowego hijackera, jest także inne adware oraz Google Chrome poszkodowane przez adware i przekonwertowane do wersji "developerskiej", co wymaga reinstalacji przeglądarki od zera. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Badanie mające na celu poprawę produktów HP Deskjet 1510 series, eBay, Google Chrome. Nie instaluj na razie Google Chrome, bo jeszcze w punkcie 2 doczyszczanie po Chrome będzie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer105.exe [236816 2015-10-09] (MustangService) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\4WdM4\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\MARCIN SKŁODOWSKI\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT ShortcutWithArgument: C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT ShortcutWithArgument: C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT ShortcutWithArgument: C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT Edge HomeButtonPage: HKU\S-1-5-21-51331620-3515759238-2826849094-1002 -> hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447167186&z=95d60b284b7132439c37bf9gfz6zem9gbq0qeb7t3m&from=cornl&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1447168742&z=6e260c3fb8418b2041ab731gdzcz6mcg7q9b9m2z9o&from=cornl&uid=toshibaxmq01abf050_331ac41qtxx331ac41qt&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1447168742&z=6e260c3fb8418b2041ab731gdzcz6mcg7q9b9m2z9o&from=cornl&uid=toshibaxmq01abf050_331ac41qtxx331ac41qt&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1447168742&z=6e260c3fb8418b2041ab731gdzcz6mcg7q9b9m2z9o&from=cornl&uid=toshibaxmq01abf050_331ac41qtxx331ac41qt&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1447168742&z=6e260c3fb8418b2041ab731gdzcz6mcg7q9b9m2z9o&from=cornl&uid=toshibaxmq01abf050_331ac41qtxx331ac41qt&q={searchTerms} HKU\S-1-5-21-51331620-3515759238-2826849094-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT&q={searchTerms} HKU\S-1-5-21-51331620-3515759238-2826849094-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT HKU\S-1-5-21-51331620-3515759238-2826849094-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT HKU\S-1-5-21-51331620-3515759238-2826849094-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT&q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-51331620-3515759238-2826849094-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT&q={searchTerms} SearchScopes: HKU\S-1-5-21-51331620-3515759238-2826849094-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT&q={searchTerms} SearchScopes: HKU\S-1-5-21-51331620-3515759238-2826849094-1002 -> {AA086F7F-0C1F-4C0C-A0DD-666E2699B7AB} URL = BHO-x32: Sale Charger -> {7a38e53c-e000-41e4-9b5a-47447db81c2b} -> C:\Program Files (x86)\Sale Charger\Extensions\7a38e53c-e000-41e4-9b5a-47447db81c2b.dll => Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Mozilla\Firefox\Profiles\m3k48y98.default-1438962377295\extensions\deskCutv2@gmail.com => nie znaleziono HKLM-x32\...\Run: [] => [X] Task: {06460C36-78F7-4203-BF90-752E2B5B9E66} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {07010C70-E733-45D1-8217-A8590ADBBB14} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {0EAD9442-1CB8-4262-ABEE-9F430E8C86F0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {209E2DAD-429A-4667-BF2E-50662369479D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {29308793-1C22-4CEE-827C-DCBE9D898397} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {3A2F2041-F3E9-4FF3-9B8B-92E87FFCA741} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {3DB85EF5-8BD1-444D-8794-ACC472B743AD} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {53EFD19D-F766-4745-9C38-939B3C2C5CB6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {AC177144-D5CF-4AFE-8E85-287D89CDDDA9} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {B87ABDB6-30AC-45B5-B7CD-5954EB92ADBC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {E347B97D-922C-41E2-BB7D-3695B134CC32} - System32\Tasks\{AA31EE25-70CB-4804-9BAC-0CFE70DEC168} => pcalua.exe -a "C:\Program Files (x86)\Origin\Origin.exe" -d "C:\Program Files (x86)\Origin" Task: {E9E5AFB9-1C01-458B-B64D-9E6FA2FBE62F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {F1F2F0CD-90CD-4964-92B6-0366CC65B76A} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe Task: {F2F84442-3A71-47A2-8AC9-5B36A70D2EF6} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {F94BF661-AFA6-492B-BDE8-4C23936AB971} - System32\Tasks\{D3A14B99-5239-432E-B5F8-51CF61AE9FD4} => pcalua.exe -a "C:\Program Files (x86)\Origin\Origin.exe" -d "C:\Program Files (x86)\Origin" Task: {FA3EA11D-09CF-49D6-BDE6-F6CD7B03E073} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software C:\Program Files (x86)\Google C:\Program Files (x86)\Lenovo C:\Program Files (x86)\RayDld C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\4WdM4 C:\ProgramData\DWdMD C:\ProgramData\pWMiniProp C:\ProgramData\TempMoudleSet C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\MARCIN SKŁODOWSKI\AppData\Local\nsa2DD.tmp C:\Users\MARCIN SKŁODOWSKI\AppData\Local\nsi7508.tmp C:\Users\MARCIN SKŁODOWSKI\AppData\Local\Google C:\Users\MARCIN SKŁODOWSKI\AppData\Local\Lenovo C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\istartsurf C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\TSv C:\Users\MARCIN SKŁODOWSKI\Downloads\*-dp*.exe C:\Users\MARCIN SKŁODOWSKI\Downloads\SpyHunter-Installer.exe C:\Users\MARCIN SKŁODOWSKI\REACHit C:\Windows\System32\Tasks\Lenovo C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom Zoek. W oknie wklej: Metric Collection SDK;u Klik w Run Script. Powstanie plik zoek-results.log (ręcznie zmień mu nazwę z *.log na *.txt, by wszedł do załącznika). 4. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i zoek-results.txt.
-
Do wykonania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje: Adobe Flash Player 16 NPAPI, Adobe Flash Player 17 ActiveX, Adobe Flash Player 19 PPAPI, Adobe Reader XI (11.0.10), Java 8 Update 51. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\JM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 ShortcutWithArgument: C:\Users\JM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 ShortcutWithArgument: C:\Users\JM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 ShortcutWithArgument: C:\Users\JM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 ShortcutWithArgument: C:\Users\JM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 ShortcutWithArgument: C:\Users\JM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 ShortcutWithArgument: C:\Users\JM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449652353&z=f26b0bfb78d0213e0d3de68g0z3zat7q2w3o6cfzab&from=ient07021&uid=WDCXWD2500BEVT-75ZCT2_WD-WXE1E10V0557V0557 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-2623575990-3541476920-34735288-1001 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={6E55E5F0-489F-4483-85C4-FD67A88C1D07}&mid=54056e49dc5b47d3a40275f39d5537d1-5d1eaa441dcf36c4868a4c4a8a20655d674fd282&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=fr&d=2014-11-06 18:47:30&v=4.1.6.294&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-2623575990-3541476920-34735288-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={6E55E5F0-489F-4483-85C4-FD67A88C1D07}&mid=54056e49dc5b47d3a40275f39d5537d1-5d1eaa441dcf36c4868a4c4a8a20655d674fd282&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=fr&d=2014-11-06 18:47:30&v=4.1.6.294&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-2623575990-3541476920-34735288-1001 -> {C04B7D22-5AEC-4561-8F49-27F6269208F6} URL = hxxp://www2.inbox.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=82115&iwk=283&lng=en BHO-x32: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Web TuneUp\4.1.8.599\AVG Web TuneUp.dll => Brak pliku Toolbar: HKU\S-1-5-21-2623575990-3541476920-34735288-1001 -> Brak nazwy - {D7E97865-918F-41E4-9CD0-25AB1C574CE8} - Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM-x32\...\Run: [] => [X] S1 lwnfd_1_10_0_14; system32\drivers\lwnfd_1_10_0_14.sys [X] Task: {538777AF-D156-472E-9DDC-125C1937DEEA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\5WMiniPro5 C:\ProgramData\yWdMy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\Users\JM\AppData\Local\AVG Web TuneUp C:\Users\JM\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\JM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Viber.lnk C:\Users\JM\Desktop\Total Commander.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.
-
Tu jest także w Google Chrome niepożądane rozszerzenie Shortcuts for All Google™ produkujące przekierowania iktmmny.com. Do wdrożenia następujące operacje: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i zbędniki: Google Talk Plugin (już nie działa), Java 7 Update 65 (64-bit), Java 8 Update 25, McAfee Security Scan Plus. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\eWdMe\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [File not signed] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Witcher Enhanced Edition Director's Cut [GOG.com]\The Witcher Enhanced Edition Director's Cut.lnk -> D:\Gry\The Witcher Enhanced Edition Director's Cut\launcher.exe (CD Projekt Red) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\The Witcher 2 - Assassins of Kings Enhanced Edition\The Witcher 2 - Assassins of Kings Enhanced Edition.lnk -> D:\Gry\The Witcher 2 Enhanced Edition\Launcher.exe (CD Projekt RED) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Duel of Champions Launcher\Duel of Champions Launcher.lnk -> D:\Gry\Duel of Champions\Launcher.exe (Ubisoft) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Karol\Desktop\Launch The Witcher Enhanced Edition Director's Cut.lnk -> D:\Gry\The Witcher Enhanced Edition Director's Cut\launcher.exe (CD Projekt Red) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Public\Desktop\Duel of Champions Launcher.lnk -> D:\Gry\Duel of Champions\Launcher.exe (Ubisoft) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B ShortcutWithArgument: C:\Users\Public\Desktop\The Witcher 2 - Assassins of Kings Enhanced Edition.lnk -> D:\Gry\The Witcher 2 Enhanced Edition\Launcher.exe (CD Projekt RED) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B&q={searchTerms} HKU\S-1-5-21-2774745869-3052220403-4266378736-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B HKU\S-1-5-21-2774745869-3052220403-4266378736-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B SearchScopes: HKU\S-1-5-21-2774745869-3052220403-4266378736-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B&q={searchTerms} SearchScopes: HKU\S-1-5-21-2774745869-3052220403-4266378736-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B&q={searchTerms} Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449667856&z=79be82e91a60ba47b425c43g1z8z2tcqbq8m9b9waq&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B773B04AA1B&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Karol\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Karol\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] FF HKLM-x32\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\dzd0bzkw.default\extensions\sidebarff@gmail.com Task: {29D3E6EF-18B8-4F07-8499-96A8445FCF87} - System32\Tasks\{84B0CEE2-5532-4738-AE82-087E5C433953} => Firefox.exe hxxp://ui.skype.com/ui/0/7.8.80.102/pl/abandoninstall?page=tsProgressBar Task: {2BD4E0E5-42D7-4432-9651-1D425BF51C1E} - System32\Tasks\{9C8C2E9A-B2C0-4B6D-BC47-AE0993DB2F8B} => Firefox.exe hxxp://ui.skype.com/ui/0/7.8.80.102/pl/abandoninstall?page=tsProgressBar Task: {91981038-F753-4060-82F5-586B08BD34B3} - System32\Tasks\{E74C9ED1-1527-4B40-AE6C-43043BFAC0AA} => Firefox.exe hxxp://ui.skype.com/ui/0/7.4.0.102/pl/abandoninstall?page=tsProgressBar Task: {B638EFC5-26C7-4148-A769-F57B06A2D421} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {D99AA887-51DC-4D1B-900B-3591BDC15EC5} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Picexa C:\Program Files (x86)\SFK C:\ProgramData\BWMiniProB C:\ProgramData\eWdMe C:\ProgramData\HWdMH C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\drollbox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fizzy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fraps C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kerbal Space Program C:\ProgramData\Microsoft\Windows\Start Menu\Programs\osu!\osu! updater.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MTA San Andreas 1.4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat C:\Users\Karol\AppData\Local剜捯獫慴慇敭屳呇⁁屖湥楴汴浥湥湩潦 C:\Users\Karol\AppData\Local\Lenovo C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameRanger.lnk C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft C:\Users\Karol\AppData\Roaming\Mozilla\plugins C:\Windows\System32\Tasks\Lenovo C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Shortcuts for All Google™. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Przekierowania yoursites123 w Chrome i Edge
picasso odpowiedział(a) na josek78 temat w Dział pomocy doraźnej
Nie podałeś trzeciego obwiązkowego raportu FRST Shortcut. A problem jest szerszy niż tylko tytułowy hijacker (nawiasem mówiąc także w Edge siedzi), są tu też inne obiekty adware: polityki blokujące Google Chrome oraz adware Discovery App w Google Chrome. Prawdopodobnie są też zmodyfikowane globalne pliki DLL Google Chrome, w przeciwnym wypadku adware nie byłoby w stanie się zainstalować. Wymagana reinstalacja przeglądarki od zera. Przeprowadź następujące działania: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Picexa. Operacje związane z Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, opcja 2 do wykonania: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj Google Chrome, dopóki nie wykonasz punktu 2 doczyszczającego elementy Google. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\agula adomus\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\agula adomus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 ShortcutWithArgument: C:\Users\agula adomus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 Edge HomeButtonPage: HKU\S-1-5-21-782002170-3124842165-2239911744-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} HKU\S-1-5-21-782002170-3124842165-2239911744-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} SearchScopes: HKU\S-1-5-21-782002170-3124842165-2239911744-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} Task: {0D4269D0-5EA9-46BF-9038-3CC5C0A66D38} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {129659A1-4FF3-4CC4-992B-52CCE18C83A3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {2441C289-724D-4960-8503-5BD6A66747FB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {32B4A250-D80B-485A-B882-FCA436288D1E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {3B74E222-04CD-4A1D-A8B0-2E2E6D97E6E2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {4C1A5D36-58ED-4BB5-A627-50D4880CB25A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {5D4C6BC6-53AC-4290-A042-D7EAC83918E8} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {7C4C075B-C558-4905-B362-0290FD231A39} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BD3D8F11-9CA0-47E1-8FE6-7F19AEAD7003} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {C0D77755-1861-4179-9EDA-3F6DD9ED328B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E9AA64A5-45CB-4077-879C-82177133ED82} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\yoursites123Software /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f C:\Program Files\Google\Chrome C:\Program Files\Picexa C:\Program Files\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\8WdM8 C:\ProgramData\JWdMJ C:\ProgramData\Temp C:\Users\agula adomus\AppData\Local\Google\Chrome C:\Users\agula adomus\AppData\Local\Mozilla C:\Users\agula adomus\AppData\Roaming\Mozilla C:\Users\agula adomus\AppData\Roaming\TSv C:\WINDOWS\system32\data.bin C:\WINDOWS\system32\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowsze Google Chrome. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt. -
Virus zaszyfrował pliki - ".vvv" Jak je odszyfrować?
picasso odpowiedział(a) na t6p temat w Dział pomocy doraźnej
Klucz innego użytkownika nie będzie pasował. Klucze są unikatowe dla danej instalacji Windows, generowane w oparciu o określone cechy systemu. -
Infekcja "yoursite123.com" przeglądarki Chrome
picasso odpowiedział(a) na Krzycho92 temat w Dział pomocy doraźnej
Nie wykonałeś ogłoszenia: KLIK. Aktywny sterownik SPTD. Ale zostaw już ten wątek z GMER. R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2013-12-29] (Duplex Secure Ltd.) U3 a5v12dwh; C:\Windows\System32\Drivers\a5v12dwh.sys [0 ] (Microsoft Corporation) U3 agzh3att; C:\Windows\System32\Drivers\agzh3att.sys [0 ] (Microsoft Corporation) Tu jest więcej odpadków adware niż tylko tytułowy problem, w tym stare nie wyczyszczone dobrze wcześniej. Akcje do wykonania: 1. Odinstaluj starą wersję Java 8 Update 31 oraz starą zaśmieconą adware przeglądarkę Mozilla Firefox 33.1.1 (x86 pl) + Mozilla Maintenance Service. A skrypt w punkcie 2 doczyści elementy Firefoxa. Nie instaluj nowego Firefoxa, dopóki nie wykonasz punktu 2, w przeciwnym wypadku skrypt go uszkodzi, 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Asia\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\MWdMM\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S2 cewiqigy; C:\Users\Asia\AppData\Roaming\VOPackage\nsrD2B2.tmpfs [X] S2 serverjo; C:\Users\Asia\AppData\Roaming\VOPackage\JOSrv.exe [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 L1C; system32\DRIVERS\L1C62x64.sys [X] S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] S1 wpnfd_1_10_0_9; system32\drivers\wpnfd_1_10_0_9.sys [X] ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446941988&z=32fe40539e6d14bf8115ecbgfzaz6q4t2zfg8m1g4g&from=cornl&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1429820466&from=cor&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1429820466&from=cor&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7&q={searchTerms} HKU\S-1-5-21-3791551304-1605642030-3926548003-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1429820466&from=cor&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7&q={searchTerms} HKU\S-1-5-21-3791551304-1605642030-3926548003-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 HKU\S-1-5-21-3791551304-1605642030-3926548003-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449731038&z=3a5578b47ff78afeb63028bg2z9z3temcccgbe8zeg&from=ient07021&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7 HKU\S-1-5-21-3791551304-1605642030-3926548003-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1429820466&from=cor&uid=ST1000LM014-1EJ164_W380KKV7XXXXW380KKV7&q={searchTerms} SearchScopes: HKU\S-1-5-21-3791551304-1605642030-3926548003-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Media View -> {91e22662-2e45-4335-ba74-745049e5a7ea} -> C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha763\ie\MediaViewV1alpha763.dll => Brak pliku BHO-x32: Media Watch -> {9977a7da-db58-4139-9200-fca246fff1bf} -> C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home630\ie\MediaWatchV1home630.dll => Brak pliku BHO-x32: Media Player -> {a5039609-ab5b-42fb-ac34-7c2d5f62a9c5} -> C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha774\ie\MediaPlayerV1alpha774.dll => Brak pliku BHO-x32: Video Player -> {a85ef1e9-bbb4-4e0d-9546-831c482cde00} -> C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta2985\ie\VideoPlayerV3beta2985.dll => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM-x32\...\Chrome\Extension: [gfnlgeljjnnbnnapcpppkipgggkmgbfo] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha763\ch\MediaViewV1alpha763.crx CHR HKLM-x32\...\Chrome\Extension: [jnhkealinadhpoolehpnfjnogaddkgpi] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home630\ch\MediaWatchV1home630.crx CHR HKLM-x32\...\Chrome\Extension: [mbkanhkelbmeipinmjmmaoieefdhlpcn] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta2985\ch\VideoPlayerV3beta2985.crx HKLM\...\Run: [Windows NTV Host Monitor] => C:\Program Files\Retro PC Calculator\ntvmon32.exe HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3791551304-1605642030-3926548003-1000\...\Run: [ChicaPasswordManager] => "C:\Program Files (x86)\ChicaLogic\Chica Password Manager\stpass.exe" /autorunned Task: {623AD434-2274-4122-8A96-A7763FF26B71} - System32\Tasks\{355FDAE7-5F65-4E92-ABD8-B934B862C5F6} => pcalua.exe -a "C:\Users\Asia\Downloads\dotNetFx35setup (1).exe" -d C:\Users\Asia\Downloads Task: {D0F7AB26-9C77-4DD5-A749-B59D2F47253B} - System32\Tasks\{C5D18A72-8183-40C3-BBFB-9D3F6096162E} => pcalua.exe -a C:\PROGRA~2\Ubisoft\PETZ4~1\UNWISE.EXE -c C:\PROGRA~2\Ubisoft\PETZ4~1\INSTALL.LOG C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\mntemp C:\ProgramData\BWdMB C:\ProgramData\MWdMM C:\ProgramData\Mozilla C:\ProgramData\Nero C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\Users\Asia\AppData\Local\nsr9BB0.tmp C:\Users\Asia\AppData\Local\Mozilla C:\Users\Asia\AppData\Local\Opera Software C:\Users\Asia\AppData\Local\WMTools Downloaded Files C:\Users\Asia\AppData\Roaming\.# C:\Users\Asia\AppData\Roaming\Mozilla C:\Users\Asia\AppData\Roaming\Opera Software C:\Users\Asia\AppData\Roaming\TSv C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gametree C:\Users\Asia\Desktop\RODZICE\PIT pro 2013.lnk C:\Users\Asia\Documents\ľŮ¸®»ţ\µżżµ»ó\łěČ µżżµ»ó Ŕç»ý ÄÚµ¦ ĽłÄˇ.lnk C:\Users\Asia\Downloads\*.crdownload C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\SysWOW64\pl.html Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MediaPlayerV1alpha774 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MediaViewV1alpha763 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MediaWatchV1home630 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.