picasso

Tu są także ślady niedoczyszczonej w przeszłości infekcji trojanem ZeroAccess. Operacje do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe AIR, Java 7 Update 71, JDownloader 0.9, Spybot - Search & Destroy. Ten JDownloader 0.9 to wygląda na niepoprawnie odinstalowany. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] HKU\S-1-5-21-2728440765-1480881117-2173122078-1000\...\Run: [bingSvc] => C:\Users\Kasia\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-13] (© 2015 Microsoft Corporation) HKU\S-1-5-21-2728440765-1480881117-2173122078-1000\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-2728440765-1480881117-2173122078-1000\...0c966feabec1\InprocServer32: [Default-shell32] C:\Users\Kasia\AppData\Local\{1d14c466-c6bb-92ce-2712-6ee7ce1b3d2d}\n.UWAGA! ====> ZeroAccess/Alureon? ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} HKU\S-1-5-21-2728440765-1480881117-2173122078-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX&q={searchTerms} StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449667772&z=4d6efb2cfc90f711f4261e6g3zczbt5qeq9mbm7q6b&from=ient07021&uid=HitachiXHTS543225L9A300_090211FB8F00LLDU39NAX" Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe CustomCLSID: HKU\S-1-5-21-2728440765-1480881117-2173122078-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\cWdMc RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\Users\Kasia\AppData\Local\{1d14c466-c6bb-92ce-2712-6ee7ce1b3d2d} RemoveDirectory: C:\Users\Kasia\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Kasia\Desktop\Stare dane programu Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader*.lnk C:\Users\Kasia\AppData\Local\{4C4D9482-43D9-475E-8323-6FE1F5014ACC} C:\Users\Kasia\AppData\Local\BIT16B6.tmp C:\Users\Kasia\Desktop\JDownloader.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 4. Zrób nowe logi: FRST z opcji Skanuj (Scan) (ponownie z Addition ale już bez Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Zadania wkonane, za wyjątkiem ostatniej komendy FRST, przy przeklejaniu zjadło Ci literkę sys. Ostatnie poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\AppID\{85198F55-85AC-498A-BFE4-BBC33840F4AB} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\hdcode DeleteKey: HKLM\SOFTWARE\ihpmserver DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\sweet-pageSoftware DeleteKey: HKLM\SOFTWARE\mystartsearchSoftware DeleteKey: HKLM\SOFTWARE\RayDld DeleteKey: HKLM\SOFTWARE\TSv DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\zoek_backup CMD: del /q C:\Windows\system32\Drivers\fsbts.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Brakuje pliku fixlog.txt z wynikami przetwarzania skryptu. Uzupełnij.

Czy na pewno w poprawny sposób odinstalowałeś Mozilla Firefox 33.1.1 (x86 pl) przed użyciem skryptu? Pozycja nadal na liście zainstalowanych. I kolejne doczyszczanie: 1. Otwórz Notatnik i wklej w nim: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\S-1-5-21-3791551304-1605642030-3926548003-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\Clients\StartMenuInternet\FIREFOX.EXE DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox 33.1.1 (x86 pl) DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\FRST\Quarantine CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Tak, ja wiem że używasz Opery, bo jest to w raporcie (domyślna przeglądarka + uruchomione procesy). Po prostu Opera nie wymagała dodatkowego czyszczenia, w przeciwieństwie do Google Chrome. Wszystko zrobione. Kolejna porcja zadań: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko zrobnione. Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Usuń pobrane skanery i ich logi z folderu C:\Naprawa. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Miałeś wykonać tylko skanowanie AdwCleaner i nic za jego pomocą nie usuwać. AdwCleaner może mieć fałszywe alarmy i wyniki należy sprawdzić przed usuwaniem. Pośpieszyłeś się. Kończymy: Usuń z F:\Pobrane ściągnięty AdwCleaner i inne narzędzia. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Chyba nie przeczytałeś zasad działu kierujących do opisu tworzenia raportu FRST, w przeciwnym wypadku byś o to nie pytał... Instrukcja tworzenia raportów: KLIK.

Wszystko zrobione. Kończymy: 1. Uruchom narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Skasuj pobrany FRST i jego logi z folderu C:\Users\Admin\Desktop\Nowy folder. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Brakuje pliku FRST Shortcut. Uzupełnij.

Wymagane poprawki, adware Sound+ odinstalowało się tylko pozornie, poza tym jeszcze zostały inne odpadki. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [sound+] => C:\Program Files\Sound+\Sound+.exe [4143616 2015-10-23] (Sound+) Task: {37A3907D-962C-4A4D-92D7-003163F73A1F} - System32\Tasks\McAfee\McAfee Auto Maintenance Task Agent Task: {43CFC087-9338-485C-95F3-D2DCBF8EB3BD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-10-16] (Lenovo) Task: {A69C807B-D58D-4158-889F-D62493BBD6F2} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {B0E53FFA-C349-4153-8CB7-0886759B0EFA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-02] (Lenovo) S3 mfeaack; C:\Windows\system32\drivers\mfeaack.sys [413432 2015-08-10] (McAfee, Inc.) S3 mfencrk; C:\Windows\System32\DRIVERS\mfencrk.sys [111256 2015-08-12] (McAfee, Inc.) S2 mcbootdelaystartsvc; "C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe" /McCoreSvc [X] S2 mfemms; "C:\Program Files\Common Files\McAfee\SystemCore\\mfemms.exe" [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McNaiAnn => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\McAfee RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\mcafee RemoveDirectory: C:\Program Files\Sound+ RemoveDirectory: C:\Program Files\Common Files\McAfee RemoveDirectory: C:\Program Files (x86)\AVG RemoveDirectory: C:\Program Files (x86)\Freemake RemoveDirectory: C:\ProgramData\Apple RemoveDirectory: C:\ProgramData\Apple Computer RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\Freemake RemoveDirectory: C:\ProgramData\Orbit RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\Tmp0x0x RemoveDirectory: C:\Users\Barnej314\AppData\Local\Adobe RemoveDirectory: C:\Users\Barnej314\AppData\Local\Apple RemoveDirectory: C:\Users\Barnej314\AppData\Local\Apple Computer RemoveDirectory: C:\Users\Barnej314\AppData\Local\Avg RemoveDirectory: C:\Users\Barnej314\AppData\Roaming\Adobe RemoveDirectory: C:\Users\Barnej314\AppData\Roaming\Apple Computer RemoveDirectory: C:\Users\Barnej314\AppData\Roaming\AVG RemoveDirectory: C:\Users\Barnej314\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sound+ 1.0 RemoveDirectory: C:\Users\Barnej314\Downloads\DLL-Files Fixer 3.3.90.3079 Multilingual + Key [4realtorrentz] RemoveDirectory: C:\Windows\System32\Tasks\McAfee CMD: del /q C:\AVScanner.ini CMD: del /q C:\Users\Barnej314\pobierz_Daemon_tools_lite_32-64-bit_wersja_stabilna_V10.exe CMD: del /q C:\Users\Barnej314\Downloads\MCPR.exe CMD: del /q C:\Users\Barnej314\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Users\Barnej314\Downloads\SafariSetup.exe CMD: del /q C:\Users\Barnej314\Downloads\dffsetup.exe CMD: del /q "C:\Users\Barnej314\Downloads\DLL-Files Fixer 3.3.90.3079 Multilingual + Key [4realtorrentz].zip" CMD: del /q C:\Windows\system32\mfevtps.exe CMD: del /q C:\Windows\system32\drivers\mfeaack.sys CMD: del /q C:\Windows\System32\drivers\mfencrk.sys CMD: del /q C:\Windows\SysWOW64\taskSchedularLog.txt CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj), powstanie folder C:\AdwCleaner z logiem. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też fixlog.txt oraz log AdwCleaner. Wypowiedz się jak działa system i czy nadal występują problemy.

Nie wykonałeś poprawnie akcji i to nie są wyniki Fixlog ze skryptu który podałam. Uruchomiłeś inny Fix FRST z cudzego tematu i uszkodziłeś sobie aplikacje Lenovo. Skrypty są unikatowe, nie wolno pod żadnym pozorem brać skryptów z innych tematów. 1. Wykonaj Przywracanie systemu do czasu sprzed użycia tego felernego skryptu FRST. Wybierz punkt opisany jako "Instalacja pakietu sterownika urządzenia: Google, Inc.": ==================== Punkty Przywracania systemu ========================= 03-12-2015 21:33:28 Installed System Requirements Lab Detection 03-12-2015 21:55:30 Installed System Requirements Lab Detection 07-12-2015 21:04:09 Instalacja pakietu sterownika urządzenia: Google, Inc. 10-12-2015 18:45:59 Removed HP Update 10-12-2015 19:00:47 Restore Point Created by FRST 2. Następnie do wykonania wszystkie akcje rozpisane przeze mnie we wcześniejszym poście.

Być może problem tkwi w oprogramowaniu zabezpieczającym, czyli Avast SecureLine i/lub McAfee LiveSafe - Internet Security. W raportach nie ma już widocznej żadnej modyfikacji yoursites123 w konfiguracji Internet Explorer. A może chodzi Ci o Edge? Podczas jakiej czynności wyskakuje to przekierowanie? Pokaż zrzut ekranu. Na razie drobne korekty: 1. Otwórz Notatnik i wklej: DeleteKey: HKLM\SOFTWARE\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Mozilla Firefox RemoveDirectory: C:\Program Files\Opera RemoveDirectory: C:\ProgramData\653ac11b-b606-42c5-b357-bca0fd28d1cd RemoveDirectory: C:\ProgramData\8WMiniPro8 RemoveDirectory: C:\Users\agula adomus\AppData\Local\Opera Software RemoveDirectory: C:\Users\agula adomus\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\agula adomus\AppData\Roaming\Opera Software CMD: del /q "C:\Users\agula adomus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Drobne poprawki: 1. Nie została odinstalowana stara wersja Java 8 Update 51. Najnowszą wersję 66 zainstalujesz na szarym końcu. 2. Otwórz Notatnik i wklej w nim: Task: {C9D28723-FB8D-4509-9305-5BEAC625447B} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2015-12-09] (AVAST Software) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\yoursites123Software RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\Users\JM\AppData\Local\Viber RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software RemoveDirectory: C:\Windows\System32\Tasks\Lenovo CMD: del /q C:\Users\JM\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Brakuje głównego raportu FRST.txt. Uzupełnij.

Kolejne poprawki: 1. Nie zostały odinstalowane dwie pozycje: F-Secure Client Security, Java™ 6 Update 16. Czy jest jakiś problem z deinstalacją, pokazuje się jakiś błąd? W przypadku problemów uruchom Zoek i w oknie wklej: F-Secure Client Security;u Java™ 6 Update 16;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). 2. Otwórz Notatnik i wklej w nim: Task: {8A20BDBA-6D36-47AD-A57B-559C1F071667} - System32\Tasks\{00313BA0-A4E9-49BB-8C9B-778A52B84981} => pcalua.exe -a "C:\Program Files\F-Secure\Uninstall\fsuninst.exe" -c /UninstRegKey:"F-Secure Anti-Virus" BHO: Browsing Protection Class -> {C6867EB7-8350-4856-877F-93CF8AE3DC9C} -> C:\Program Files\F-Secure\NRS\iescript\baselitmus.dll => Brak pliku Toolbar: HKLM - Browsing Protection Toolbar - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - C:\Program Files\F-Secure\NRS\iescript\baselitmus.dll Brak pliku CMD: netsh advfirewall reset Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{F4B9AB2B-ED96-4444-B391-1E0DA906E0FB}" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\F-Secure RemoveDirectory: C:\ProgramData\fssg RemoveDirectory: C:\Users\Jacek\AppData\Local\Adobe RemoveDirectory: C:\Users\Jacek\Desktop\Stare dane programu Firefox CMD: del /q C:\Windows\system32\Drivers\fsbts.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Drobna poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4C4396A8-6F7A-4786-9ED6-0B9225862E57} DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\mozilla firefox\plugins RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\Windows\System32\Tasks\Lenovo CMD: del /q "C:\Users\Paweł Świątek\Desktop\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Jeszcze mała poprawka. Otwórz Notatnik i wklej w nim: S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\yoursites123Software RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Wszystko pomyślnie wykonane. Teraz jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wymagane poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Picexa DeleteKey: HKLM\SOFTWARE\yoursites123Software S2 IhPul; C:\Users\Joe\AppData\Roaming\TSv\TSvr.exe [X] S2 PicexaService; C:\Program Files\Picexa\PicexaSvc.exe [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\Users\Joe\AppData\Roaming\Picexa Viewer CMD: del /q "C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk" CMD: del /q C:\Users\Public\Desktop\Picexa.lnk CMd: del /q C:\WINDOWS\system32\pl.html Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Posty dla porządku połączyłam, ale odpowiadaj mi już w nowym poście. Stosowałeś ComboFix i na ten temat: KLIK. To nie jest nawet dobre narzędzie do czyszczenia adware, są inne bardziej specjalizowane, np. AdwCleaner (również tu stosowany). Zainstalowałeś także lewy skaner z czarnej listy SpyHunter. Do przeprowadzenia następujące działania: 1. Odinstaluj starą dziurawą wersję Adobe AIR oraz wątpliwe skanery SpyHunter, SpyHunter 4. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3406099390-1331833789-2179768664-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 HKU\S-1-5-21-3406099390-1331833789-2179768664-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3406099390-1331833789-2179768664-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449734177&z=153799277306be2a11535e3gczfz6t8m5c8z7g4b9o&from=ient07021&uid=SAMSUNGXHD502HI_S1VZJ90ZC27776 URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3406099390-1331833789-2179768664-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {68D29CC4-6030-4A3D-B273-44DB5BB254D1} - \SW-Booster-S-792098896 -> Brak pliku S3 catchme; \??\C:\Users\MICHA~1\AppData\Local\Temp\catchme.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x32.sys [X] S1 tcfd_vt_1_10_0_22; system32\drivers\tcfd_vt_1_10_0_22.sys [X] S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] C:\Users\Ania\Desktop\Media Player Classic.lnk C:\Users\Ania\Desktop\PTE Patch.lnk C:\Users\Ania\Desktop\The Sims 4.lnk C:\Users\Michał\Desktop\TMP SELECTOR.lnk C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Michał\AppData\Local\Temp.dat C:\Windows\system32\pl.html RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ComboFix RemoveDirectory: C:\Qoobox RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KeyTweak RemoveDirectory: C:\Users\Michał\Desktop\Stare dane programu Firefox DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W systemie są dwa konta, na razie było sprawdzane tylko jedno (Michał): ==================== Konta użytkowników: ============================= Ania (S-1-5-21-3406099390-1331833789-2179768664-1001 - Administrator - Enabled) => C:\Users\Ania Michał (S-1-5-21-3406099390-1331833789-2179768664-1000 - Administrator - Enabled) => C:\Users\Michał Po kolei zaloguj się na każde poprzez pełny restart systemu (a nie Wyloguj czy Przełącz użytkownika) i na każdym zrób nowy log FRST z opcji Skanuj (Scan) z Addition, ale już bez Shortcut. Czyli po dwa logi FRST z każdego konta, w sumie 4. Dołącz też plik fixlog.txt.

Poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\zoek_backup CMd: del /q C:\Users\Slawomir\Downloads\fo0wh4cc.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Zasady działu: KLIK. Tu jest zakaz podpienia się się. Temat wydzielony w osobny. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 ihpmServer; C:\Program Files\RayDld\ihpmServer.exe [271592 2015-11-19] (Ray you) R2 IhPul; C:\Users\Eko Helios PDK\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\HWdMH\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X] S2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X] S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] ShortcutWithArgument: C:\Users\Eko Helios PDK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT ShortcutWithArgument: C:\Users\Eko Helios PDK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT ShortcutWithArgument: C:\Users\Eko Helios PDK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartpageing.com/web/?type=ds&ts=1448291730&z=e38733ac16a192110914105g2z4z3b3o3t9g2m8cbe&from=cornl&uid=toshibaxmk2546gsx_28omc0qitxx28omc0qit&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartpageing.com/web/?type=ds&ts=1448291730&z=e38733ac16a192110914105g2z4z3b3o3t9g2m8cbe&from=cornl&uid=toshibaxmk2546gsx_28omc0qitxx28omc0qit&q={searchTerms} HKU\S-1-5-21-3618850881-1739361237-2590381527-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT&q={searchTerms} HKU\S-1-5-21-3618850881-1739361237-2590381527-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.pl/ HKU\S-1-5-21-3618850881-1739361237-2590381527-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT HKU\S-1-5-21-3618850881-1739361237-2590381527-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647768&z=a2a6a5e93aec34696fa5b80g7zez8t7q8z8m7m7q6t&from=ient07021&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT&q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1448290114&z=a74c789253ec07611735527g1z2z0b3ofb7t9m4tab&from=cor&uid=TOSHIBAXMK2546GSX_28OMC0QITXX28OMC0QIT ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Task: {01D1A698-1985-4E48-AE43-588DBA18E966} - System32\Tasks\Opera N Saturday => C:\Program Files\Opera\launcher.exe Task: {01E9A868-B37A-46C0-8AF1-9D8A36263667} - System32\Tasks\{812A6AC1-8156-4A46-BEE2-46B9FABB3AB5} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {183BB776-2F68-49F3-9DAE-020A792C03CF} - System32\Tasks\Opera N Sunday => C:\Program Files\Opera\launcher.exe Task: {E39CE3A4-1683-4624-A082-8BD5FCEA5414} - System32\Tasks\{3B524084-A09A-4299-9467-D82A213B0C93} => pcalua.exe -a "C:\Users\Eko Helios PDK\AppData\Roaming\istartsurf\UninstallManager.exe" -c -ptid=cor DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\yoursites123Software C:\Program Files\Google C:\Program Files\Mozilla Maintenance Service C:\Program Files\Opera C:\Program Files\RayDld C:\Program Files\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\AVAST Software C:\ProgramData\HWdMH C:\ProgramData\SWMiniProS C:\ProgramData\rWdMr C:\ProgramData\XWMiniProX C:\Users\Eko Helios PDK\AppData\Local\Adobe C:\Users\Eko Helios PDK\AppData\Local\Google C:\Users\Eko Helios PDK\AppData\Local\Opera Software C:\Users\Eko Helios PDK\AppData\Local\Thunderbird C:\Users\Eko Helios PDK\AppData\Roaming\istartsurf C:\Users\Eko Helios PDK\AppData\Roaming\Mozilla C:\Users\Eko Helios PDK\AppData\Roaming\Opera Software C:\Users\Eko Helios PDK\AppData\Roaming\Shortcut C:\Users\Eko Helios PDK\AppData\Roaming\sweet-page C:\Users\Eko Helios PDK\AppData\Roaming\Thunderbird C:\Users\Eko Helios PDK\AppData\Roaming\TSv C:\Windows\system32\pl.html Folder: C:\Device CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Nie tylko adware jest w systemie, ale także BitCoin Miner (update.vbe w folderze Origin). Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare wersje oraz adware: Ad-Aware, Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Flash Player 16 NPAPI, Adobe Reader 9.5.1, Java 7 Update 60, Java™ 6 Update 31, Picexa, Windows Media Player Firefox Plugin. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IhPul; C:\Users\Marcin\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\SWdMS\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S2 TBPanel; Brak ImagePath S4 sptd; System32\Drivers\sptd.sys [X] ShortcutWithArgument: C:\Users\Marcin\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (2).lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms} HKU\S-1-5-21-783910324-3587200081-1645618152-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 HKU\S-1-5-21-783910324-3587200081-1645618152-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448351647&z=b0424a5fa841dca3a0a899dgczez7b4c2w9gaq9z0t&from=ient07031&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms} HKU\S-1-5-21-783910324-3587200081-1645618152-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-783910324-3587200081-1645618152-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-783910324-3587200081-1645618152-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445799323&z=0350992d013489d4ca88de5g5z6z9wcm8t1tfe6m3g&from=cor&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\trp6l1v0.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\trp6l1v0.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\trp6l1v0.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\trp6l1v0.default\extensions\yahooprotected@gmail.com HKU\S-1-5-21-783910324-3587200081-1645618152-1000\...\Run: [AdobeBridge] => [X] BootExecute: autocheck autochk * lsdelete Task: {0730D217-84E4-4D1A-AAF8-67CC1E444B46} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-pity2013\Assets\signxml.exe Task: {1A875333-9F1C-4A6B-929E-AD835FD19B03} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-pity2013\Assets\signxml.exe Task: {3099429E-146B-4237-8884-043496B23777} - System32\Tasks\{5ADAAAD2-826B-4360-9936-1F8FC9D6CB94} => pcalua.exe -a "D:\downloaded\Firefox Setup 3.5.2.exe" -d D:\downloaded Task: {8185E9D9-3F14-4E4F-B463-D3330988B2C9} - System32\Tasks\{80B52C98-AF62-4CF9-8BD4-8472A535D106} => pcalua.exe -a "D:\downloaded\QuickTimeInstaller (1).exe" -d D:\downloaded Task: {926FAB81-9338-4DDD-9DF3-E17E41A1E135} - System32\Tasks\Origin => C:\Users\Marcin\AppData\Roaming\Origin\update.vbe [2013-09-14] () Task: {BB923080-3E54-44A1-987F-B5EAECD48ED7} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {E0C48729-1B09-4A4A-9711-6F3FD6E1C054} - System32\Tasks\{A651A07A-7B58-4043-900E-D0DC605F2839} => pcalua.exe -a D:\downloaded\jre-6u25-windows-i586-iftw.exe -d D:\downloaded Task: {F6E40269-4841-4ECF-B23C-13A30E7F0A22} - System32\Tasks\{BBECB86D-9273-4248-A35C-4A824E96D8BB} => pcalua.exe -a C:\Users\Marcin\Downloads\QuickTimeInstaller.exe -d C:\Users\Marcin\Downloads DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesHelper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPDLR DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Picexa C:\Program Files (x86)\SFK C:\Program Files (x86)\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\ywchkrhdsxpmnal C:\ProgramData\nWMiniPron C:\ProgramData\SWdMS C:\ProgramData\ZWdMZ C:\ProgramData\vWMiniProv C:\ProgramData\XWMiniProX C:\Users\Marcin\AppData\Local\Lenovo C:\Users\Marcin\AppData\Roaming\Origin\update.vbe C:\Users\Marcin\AppData\Roaming\TSv C:\Users\UpdatusUser\Desktop\SopCast.lnk C:\Windows\temp023423.vbe C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Operacje do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player ActiveX, Java 8 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\3WdM3\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 WinRing0_1_2_0; \??\D:\Program Files\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] HKU\S-1-5-21-1993643628-1500383753-3481848954-1000\...\Run: [bingSvc] => C:\Users\Admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\kkjin8gu.default-1431425513148\extensions\sidebarff@gmail.com => nie znaleziono Task: {5B4DB020-4B43-467F-B9FF-6179AC13F1BA} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {923A6ED5-9C7A-494D-9C17-4096DB4D4350} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {B6305A56-AFA3-4D58-9AC4-FADC8CAF1747} - System32\Tasks\Game_Booster_AutoUpdate => D:\Program Files\IObit\Game Booster 3\AutoUpdate.exe C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\3WdM3 C:\ProgramData\FWdMF C:\ProgramData\iWdMi C:\Users\Admin\AppData\Local\Google C:\Users\Admin\AppData\Local\Microsoft\BingSvc C:\Windows\SysWOW64\pl.html Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\yoursites123Software /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.