picasso

Akcje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj zbędnik REACHit Lenovo, całkiem możliwe że to była sponsorowana niechciana instalacja. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Paweł Świątek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663977&z=235da94fcaa464dee5665dcgdzfz8teqfqccat9m7w&from=ient07021&uid=ST750LM022XHN-M750MBB_S2USJ9AC308266 ShortcutWithArgument: C:\Users\Paweł Świątek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663977&z=235da94fcaa464dee5665dcgdzfz8teqfqccat9m7w&from=ient07021&uid=ST750LM022XHN-M750MBB_S2USJ9AC308266 ShortcutWithArgument: C:\Users\Paweł Świątek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663977&z=235da94fcaa464dee5665dcgdzfz8teqfqccat9m7w&from=ient07021&uid=ST750LM022XHN-M750MBB_S2USJ9AC308266 ShortcutWithArgument: C:\Users\Paweł Świątek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663977&z=235da94fcaa464dee5665dcgdzfz8teqfqccat9m7w&from=ient07021&uid=ST750LM022XHN-M750MBB_S2USJ9AC308266 HKU\S-1-5-21-1352084243-2475430989-4279152293-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449663977&z=235da94fcaa464dee5665dcgdzfz8teqfqccat9m7w&from=ient07021&uid=ST750LM022XHN-M750MBB_S2USJ9AC308266&q={searchTerms} Task: {01C12FC6-0878-4244-B1F3-9BFF14F5BAE2} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {A090D0E7-229D-4EEC-BFBE-377061B82959} - System32\Tasks\{95E79A1E-696D-4CFF-A238-71579944AB20} => pcalua.exe -a "E:\Windows 7\11. Bluetooth\Setup.exe" -d "E:\Windows 7\11. Bluetooth" Task: {D4CB81FD-3555-4E1C-BABA-2E874BFDDA89} - System32\Tasks\{3B18B9ED-6AFB-49B8-BFB2-63FAEFC98FD2} => Firefox.exe hxxp://ui.skype.com/ui/0/7.10.0.101/pl/abandoninstall?page=tsProgressBar HKLM-x32\...\RunOnce: [] => [X]() HKU\S-1-5-21-1352084243-2475430989-4279152293-1000\...\Policies\Explorer: [] C:\Program Files (x86)\AVG C:\ProgramData\7WdM7 C:\ProgramData\MWdMM C:\ProgramData\MFAData C:\Windows\SysWOW64\pl.html C:\Users\Paweł Świątek\AppData\Local\Akamai C:\Users\Paweł Świątek\AppData\Local\Avg C:\Users\Paweł Świątek\AppData\Local\AvgSetupLog C:\Users\Paweł Świątek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Paweł Świątek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Dodatkowo, są pewne wpisy w raporcie oznaczone jako "brak pliku", a to może być fałszywy alarm. Podaj mi wyniki szukania, tzn. uruchom FRST i w polu Szukaj wklej co poniżej, klik w Szukaj plików i dostarcz wynikowy log. AcmPEXCtrl.ocx;g3vPartAuthEnviron.arx

Tak, log DelFix jest krótki, więc wklej go po prostu do posta.

Niezrozumiałe skąd to wraca. Reset Firefox tworzy czysty profil, omawiane preferencje (w tym nieobsługiwany już nawet Keyword.URL) nie powinny mieć skąd wracać. W tej sytuacji: 1. Zamknij Firefox i upewnij się, że jego proces nie jest aktywny. Następnie wytnij na Pulpit poniższy plik: C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\p3o02fic.default-1449697798686\prefs.js Po akcji uruchom Firefox, powinien zrzucić świeży czysty plik prefs.js. 2. W Google Chrome też preferencje Bing stoją jak przyklejone. Wykonaj te akcje: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres msn.com. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy sponsorowany Bing. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Infekcja pomyślnie usunięta. Teraz drobne poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres gazeta.allplayer.org. To sponsorowana strona. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Na koniec skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle z mojej strony.

Wprawdzie Fix FRST wykonany, ale coś tu jest nie tak. Firefox był dwa razy resetowany, a ciągle wracają te oto śmieciowe preferencje: FF Homepage: hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 FF SelectedSearchEngine: Google FF DefaultSearchEngine: Google FF Keyword.URL: hxxp://www.bing.com/search?FORM=SK2MDF&PC=SK2M&q= Pytania: czy na pewno synchronizacja FF jest wyłączona, czy przypadkiem ręcznie nie wstawiasz jakiejś kopii zapasowej do nowego odświeżonego profilu?

Wszystko zrobione. Problem powinien być rozwiązany. Ostatni skrypt poprawkowy do FRST. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe logi niesą mi już potrzebne.

Problem jest nadal w Internet Explorer, bo dwa skróty LNK nie zostały naprawione, jeden z nich nawet nie był uprzednio zmodyfikowany (zmiana wykonana między utworzeniem poprzednich logów a Fixem FRST). Ponadto, nie ma oznak, że został zresetowany Firefox, a w jego preferencjach nadal jest ten szkodnik. Poprawki: 1. To nadal aktualne: . 2. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\JKB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX ShortcutWithArgument: C:\Users\JKB\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\JKB\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run*.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

spawciu Z tego co rozumiem on po prostu zapłacił haracz i dostał decrypter od przestępców. Ta metoda tylko, gdy się ma już nóż na gardle i utracone pliki są tak ważne, że nie da się bez nich żyć. t6p Zajmę się Twoim tematem w wolnej chwili, bo teraz mam zalew innych tematów z adware i nie wyrabiam. Na szybko: To jest biznes. A im więcej osób płaci, tym większa ochota by kontynuować proceder. Mówiłam wcześniej o "braku gwarancji", bo czytałam o przypadkach, że ktoś zapłacił i dostał niedziałający klucz. Potem podam odpowiedni skrypt do FRST.

Ze zmęczenia opuściłam jeden sponsorowany wpis Bing przywracający śmieci w preferencjach przeglądarek. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKU\S-1-5-21-252401917-279108963-3015472662-1001\...\Run: [bingSvc] => C:\Users\admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\admin\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\admin\Desktop\Stare dane programu Firefox CMD: del /q "C:\Users\admin\AppData\Local\Google\Chrome\User Data\Profile 1\Web Data" CMD: del /q C:\Users\admin\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie kolejny fixlog.txt. 2. Wykonaj po raz drugi reset Firefox. Ponadto, podobnie postąp z Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Sytuacja wygląda tak: - Java nie jest obecnie poprawnie zainstalowana (w FRST Addition brak takiej pozycji na liście zainstalowanych), ale w systemie są odpadki wersji Java 31 widoczne na poziomie wtyczek do przeglądarek. Nie dość, że to uszkodzona instalacja, to jeszcze stara wersja, najnowsza to Java 66. - By poprawnie usunąć te odpadki, trzeba posłużyć się specjalistycznym usuwaczem firmowym, przy czym ten usuwacz sam do swojego działania wymaga Java i nie może być użyty do usunięcia jedynej wersji Java obecnej w systemie (w tym przypadku te szczątki Java 31), musi mieć jakąś inną Java z którą zadziała. - Dlatego masz zainstalować najnowszą Java 66, po tym uruchomić usuwacz do Java który skorzysta z Java 66, by skasować odpadki Java 31. Mam nadzieję, że ten trik zadziała, w przeciwnym wypadku trzeba będzie ręcznie wywalać Java 31.

Do przeprowadzenia następujące operacje: 1. Deinstalacje: - Odinstaluj zbędniki AVG Web TuneUp, HP Customer Participation Program 13.0, REACHit. Ten ostatni delikwent to niechciana instalacja wymuszna techniką "PUP". - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Abi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644687&z=2f07f83743f2f9bc147c009gczcz4t7q7zdzdq7b1c&from=ient07021&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 ShortcutWithArgument: C:\Users\Public\Desktop\Play Euro Truck Simulator 2 Multiplayer.lnk -> C:\Program Files (x86)\Euro Truck Simulator 2 Multiplayer\launcher.exe (ETS2MP Team) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644687&z=2f07f83743f2f9bc147c009gczcz4t7q7zdzdq7b1c&from=ient07021&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449644687&z=2f07f83743f2f9bc147c009gczcz4t7q7zdzdq7b1c&from=ient07021&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKU\S-1-5-21-3847855972-3002420087-1142518147-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644687&z=2f07f83743f2f9bc147c009gczcz4t7q7zdzdq7b1c&from=ient07021&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms} HKU\S-1-5-21-3847855972-3002420087-1142518147-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449644687&z=2f07f83743f2f9bc147c009gczcz4t7q7zdzdq7b1c&from=ient07021&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms} SearchScopes: HKU\S-1-5-21-3847855972-3002420087-1142518147-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3847855972-3002420087-1142518147-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-3847855972-3002420087-1142518147-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 Task: {135D86D9-737A-4E48-B50D-46E92641E737} - System32\Tasks\{DCBF8732-9BCF-43B7-8B8F-4A4A9818293F} => pcalua.exe -a "D:\Programy\Sterowniki lapek\Stery\IN1WLN70WW1.exe" -d "D:\Programy\Sterowniki lapek\Stery" Task: {208A3324-87C2-49BF-802C-82C5F1A0EF71} - System32\Tasks\PCOF => C:\Users\Abi\AppData\Roaming\PCOF.exe Task: {2FAEDEEA-D79C-46AA-8F66-CD0EDD015AEA} - System32\Tasks\{241D0177-6E07-4D1C-81A4-158DB340A70B} => C:\Users\Abi\Desktop\ProxyFinder.exe Task: {40B98BB2-4C47-412D-B3AA-CED1D1A5A29F} - System32\Tasks\{FB128A9D-3C8C-43ED-8152-9533CC3B9D1D} => pcalua.exe -a "D:\Programy\Sterowniki lapek\Stery\IN1TBT03WW5.exe" -d "D:\Programy\Sterowniki lapek\Stery" Task: {582A9711-35C8-42DC-83D2-06BCE9629AA6} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {77BAAFFF-F245-4973-8D76-DA8068601984} - System32\Tasks\{B1CF4304-5A90-4E4C-932D-7AFAF5F2718C} => pcalua.exe -a "D:\Programy\Sterowniki lapek\Stery\IN1IPS03WW5.exe" -d "D:\Programy\Sterowniki lapek\Stery" Task: {AC3C5091-E68C-49D3-8A23-B9BC563EADD0} - System32\Tasks\{36BE186F-B880-4802-9495-B324D1A9EEF6} => pcalua.exe -a "D:\Programy\stery HP c3180.exe" -d D:\Programy Task: {E7895A30-25A5-4DBC-8792-FE1764FDC3B5} - System32\Tasks\{66024759-9582-4639-825D-8859DCC38CC5} => pcalua.exe -a C:\Users\Abi\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=tugs Task: {F0E3F864-EC7C-487D-8E1F-7E32EC81DDA6} - System32\Tasks\{C4E16B32-3D7D-447A-A4D6-7A0A15D1E696} => pcalua.exe -a "D:\Programy\Sterowniki lapek\Stery\IN1CHP27WW5.exe" -d "D:\Programy\Sterowniki lapek\Stery" Task: C:\Windows\Tasks\PCOF.job => C:\Users\Abi\AppData\Roaming\PCOF.exe S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\Dr.Fone for Android\DriverInstall.exe" [X] C:\Program Files (x86)\Wondershare C:\ProgramData\JWdMJ C:\ProgramData\UWdMU C:\ProgramData\Wondershare C:\Users\Abi\.android C:\Users\Abi\AppData\Local\nsh4E70.tmp C:\Users\Abi\AppData\Local\nsxF9BC.tmp C:\Users\Abi\AppData\Local\Wondershare C:\Users\Abi\AppData\Local\Microsoft\Windows\GameExplorer\{10CD0FDE-CE8F-4659-8915-8EB56B3936D4} C:\Users\Abi\AppData\Roaming\LSGKZOLJ C:\Users\Abi\AppData\Roaming\OPKUK C:\Users\Abi\AppData\Roaming\PCOF C:\Users\Abi\AppData\Roaming\Thumbs.db C:\Users\Abi\AppData\Roaming\HMYGSetting C:\Users\Abi\AppData\Roaming\Wondershare C:\Users\Abi\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Windows\pss\deltemp.bat.Startup C:\Windows\SysWOW64\pl.html Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Abi^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^deltemp.bat" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Browser Extensions" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EPLTarget" /f CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Posty połączyłam do oczekiwanej na starcie formy. Oczywiście odpowiadasz mi już w nowych postach, nie edytuj pierwszego. Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Amazon 1Button App. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Slawomir\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\tWdMt\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Slawomir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 ShortcutWithArgument: C:\Users\Slawomir\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} HKU\S-1-5-21-3747367151-4080275244-1175166767-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 HKU\S-1-5-21-3747367151-4080275244-1175166767-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} SearchScopes: HKU\S-1-5-21-3747367151-4080275244-1175166767-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} SearchScopes: HKU\S-1-5-21-3747367151-4080275244-1175166767-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms} SearchScopes: HKU\S-1-5-21-3747367151-4080275244-1175166767-1001 -> {E8DC851D-7E83-48B0-93E7-5F9290CC82B5} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 CHR HomePage: Default -> gazeta.allplayer.org/ CHR HKU\S-1-5-21-3747367151-4080275244-1175166767-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx CHR HKLM-x32\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx HKLM\...\Run: [WavesSvc] => "C:\Program Files\Realtek\Audio\HDA\WavesSvc64.exe" Task: {17107572-2329-4D6C-A423-1F0C7F4D8651} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {23B03DE9-680A-4EAE-A236-0FB22450AFBE} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {27513359-B4F8-4893-BD58-BD791970C28D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {2BDF76F6-4028-4838-8B41-29827793E26B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {3166B31A-2F69-48A1-AB59-9CE86CAF4C9F} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {4667AD38-9430-4B2A-995F-472D190642F5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {9F3D9ABF-F132-4318-BE37-06F5CD1FF18C} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {B150F8DE-12B7-4938-9C4C-9C46F561DBBF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {CE74D58A-A2E2-4B5F-880D-89C8A8C0D5CF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {D3E22CBA-38A4-4030-B39D-8CAC75434F90} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {DCB07C8E-3643-44D5-9706-FB1B67ACCF8B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {DE83BA88-6CE7-4028-9278-44427DD98DCD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\{AA6BF06E-316C-487A-9BC2-5F06A43C56B1} C:\ProgramData\gWMiniProg C:\ProgramData\lWdMl C:\ProgramData\tWdMt C:\Users\Slawomir\AppData\Roaming\eCyber C:\Users\Slawomir\AppData\Roaming\istartsurf C:\Users\Slawomir\AppData\Roaming\TSv C:\Users\Slawomir\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\pl.html Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: type "C:\Windows\System32\Tasks\McAfee\McAfee Idle Detection Task" CMD: type "C:\Windows\System32\Tasks\McAfee\McAfee Auto Maintenance Task Agent" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Do wykonania następujące działania: 1. Deinstalacje: - Poprzez Panel sterowania: Adobe AIR, Adobe Reader X (10.1.13) MUI, Surfing Protection. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. To odpadek po niechcianej instalacji Lenovo REACHit. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} HKU\S-1-5-21-252401917-279108963-3015472662-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} SearchScopes: HKU\S-1-5-21-252401917-279108963-3015472662-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660022&z=1bb7b9aafc52a62b753ae84g2zdzft3q7q5e1e6gem&from=ient07021&uid=3219913727_198313_7AEE78B6&q={searchTerms} CHR HKU\S-1-5-21-252401917-279108963-3015472662-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx Task: {A7128EF3-E9BB-40DB-A807-1C7187921A1A} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKU\S-1-5-21-252401917-279108963-3015472662-1001\...\MountPoints2: {8d15eacd-77a1-11e2-a143-806e6f6e6963} - E:\DisneySplash.exe C:\Users\admin\Documents\Euro Truck Simulator 2\readme.rtf.lnk RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\admin\AppData\Local\Lenovo RemoveDirectory: C:\Users\admin\AppData\Local\Opera Software RemoveDirectory: C:\Users\admin\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\admin\AppData\Roaming\Shortcut RemoveDirectory: C:\Users\admin\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\admin\REACHit RemoveDirectory: C:\Windows\System32\Tasks\Lenovo Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Kolejne poprawki: 1. Czy na pewno wykonałeś reset synchronizacji Google? Otóż po założeniu świeżego profilu Chrome pojawiły się wpisy adware. Wnioski: są ładowane z serwera Google. Pod tym kątem: Do wykonania Opcja 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy adware www.sweet-page.com, www.default-search.net, przestaw na "Otwórz stronę nowej karty" 2. Otwórz Notatnik i wklej w nim: BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre7\bin\ssv.dll => Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll => Brak pliku FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.29.1\npGoogleUpdate3.dll [brak pliku] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.29.1\npGoogleUpdate3.dll [brak pliku] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] Task: {7649819D-93A1-4634-AA43-D6F17C8ADB3F} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {BF6E0D1E-39E6-41F4-8B38-9A31B6908463} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox CMD: del /q "C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi" CMD: del /q C:\Users\user\Downloads\SASUNINST*.EXE CMD: del /q C:\Windows\Reimage.ini CMD: sfc /scanfile=C:\Windows\SysWOW64\User32.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Pobierz najnowszy AdwCleaner. Uruchom, wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko pomyślnie wykonane. Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu, oraz zaktualizuj produkty Adobe: KLIK.

Posty posprzątałam, nieodpowiednie logi usunięte. Nie sądzę, że zmiana nazwy FRST ma coś do rzeczy, bo w raporcie nie ma oznak infekcji blokującej FRST po nazwie. Moim zdaniem blokuje FRST Avast. Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Java 7 Update 51 (64-bit), Java 7 Update 65. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\5WdM5\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin 2\Uruchom Wiedźmin 2.lnk -> C:\Program Files (x86)\Wiedźmin 2\Launcher.exe (CD Projekt RED) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 ShortcutWithArgument: C:\Users\Public\Desktop\Uruchom Wiedźmin 2.lnk -> C:\Program Files (x86)\Wiedźmin 2\Launcher.exe (CD Projekt RED) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 StartMenuInternet: Google Chrome - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms} HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms} HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194 HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms} SearchScopes: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004 -> {C1C553CA-F960-45C7-A40F-724182852F6C} URL = SearchScopes: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [2014-08-04] CHR HKLM-x32\...\Chrome\Extension: [jofdlbdmefjogcipddjnblinigmpagoj] - C:\Program Files (x86)\Lyrmix\Chrome.crx CustomCLSID: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Basia\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\...\MountPoints2: {79b77b12-5a95-11e2-be90-50b7c324289a} - "E:\LaunchU3.exe" -a HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\ProgramData\5WdM5 C:\ProgramData\yWdMy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldUnlock Calculator C:\Users\Basia\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk C:\Users\Basia\Documents\instalki\Office 2010 dla Uytkownikw Domowych i Maych Firm Trial_1357480952345.lnk C:\Users\Basia\Documents\instalki\Microsoft Download Manager_1357479905269.lnk Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Nikon Message Center 2" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "QuickTime Task" /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Temat rozwiązany. Zamykam. Co do odwdzięczania się, to możesz wspomóc mój serwis przez dotację (link w sygnaturze). Oczywiście nie jest to obligatoryjne.

Najbardziej specjalizowanym i najlepszym narzędziem do usuwania adware jest AdwCleaner, którym się już posługiwałeś. Po prostu jeszcze nie zawiera definicji tego hijackera. Przeważnie tak właśnie jest: najpierw pojawia się infekcja na forum, nie ma definicji w narzędziach i są dodane później. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\QWdMQ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449646810&z=5235b3be5bfb61659ca30d6g9z3zetdq5z5qab5g7c&from=ient07021&uid=ST750LM022XHN-M750MBB_S2RRJ9ED302077 CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-09-28] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3381551172-2302675559-2523391916-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = C:\ProgramData\QWdMQ C:\ProgramData\rWdMr C:\Windows\SysWOW64\pl.html Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Ostatnie zadanie wykonane. Kończymy: 1. Skasuj pobrane narzędzia i ich logi z folderu K:\Download 2. Następnie zastosuj DelFix oraz wyczyść folder Przywracania systemu: KLIK. 2. Do aktualizacji Adobe Reader oraz cały Windows. Stan obecny: Platform: Windows 7 Ultimate (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: FF) ==================== Zainstalowane programy ====================== Adobe Reader X (10.1.3) MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.3 - Adobe Systems Incorporated)

Wprawdzie w większości usunęliśmy poprzednie adware, ale już zdążyło się zainstalować kolejne (niejaki Reimage Repair). Poza tym, nie wyczyściłeś w ogóle przeglądarek. Widzę też nadal strasznie stary SUPERAntiSpyware ciągle uruchomiony. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {79CBEE10-9A7B-4E6B-A4DA-DBE465072376} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2015-11-10] (Reimage ltd.) Task: {ADE30E85-F85B-489B-AE87-3CABC12D3BE0} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2015-08-19] (Reimage®) R2 !SASCORE; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [128752 2010-06-29] (SUPERAntiSpyware.com) [brak podpisu cyfrowego] R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [7743472 2015-08-19] (Reimage®) R1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [14920 2010-02-17] (SUPERAdBlocker.com and SUPERAntiSpyware.com) R1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [12360 2010-02-17] (SUPERAdBlocker.com and SUPERAntiSpyware.com) R3 cpuz134; \??\C:\Users\user\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 oxrnukkok; C:\Program Files (x86)\ophcrack\pwdump\servpw.exe [X] HKU\S-1-5-21-3902127326-1100159256-351901547-1000\...\Run: [sUPERAntiSpyware] => C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [2988784 2010-10-25] (SUPERAntiSpyware.com) FF Plugin-x32: @java.com/DTPlugin,version=10.51.2 -> C:\Program Files (x86)\Java\jre7\bin\dtplugin\npDeployJava1.dll [2013-12-18] (Oracle Corporation) FF Plugin-x32: @java.com/JavaPlugin,version=10.51.2 -> C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll [2013-12-18] (Oracle Corporation) RemoveDirectory: C:\Program Files\SUPERAntiSpyware RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\ProgramData\NortonInstaller RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software CMD: del /q C:\Users\user\Downloads\ReimageRepair.exe CMD: del /q C:\Users\user\Downloads\Setup.exe CMD: del /q C:\Users\user\Downloads\x3h795zg.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Odinstaluj Reimage Repair. Następnie uruchom SUPERAntiSpyware Uninstaller Assistant, niezależnie czy już to robiłeś wcześniej. 3. Zaległe czyszczenie przeglądarek: . 4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko pomyślnie wykonane, choć odinstalowałeś Firefox zamiast go wyczyścić, co i tak zostawiło profil FF z adware na dysku i kolejna świeża instalacja Firefox załaduje to adware. Kolejne poprawki: 1. Ustaw Internet Explorer jako domyślną przeglądarkę, obecnie brak wyasygnowanej. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Adobe swMSM > Dalej. 3. Otwórz Notatnik i wklej w nim: (EasyBits Software AS) C:\Windows\SysWOW64\ezSharedSvcHost.exe R2 ezSharedSvc; C:\Windows\SysWOW64\ezSharedSvcHost.exe [514232 2010-04-23] (EasyBits Software AS) [brak podpisu cyfrowego] S3 clwvd; system32\DRIVERS\clwvd.sys [X] Task: {7CB2E5B9-9B18-409E-87A3-E7C2C47E105C} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-10-28] (Adobe Systems Incorporated) HKLM-x32\...\Run: [Magic Desktop for HP notification] => C:\ProgramData\Easybits Magic Desktop for HP\mdhpSUN.exe [1444880 2015-11-26] (Easybits) HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-1590238946-3112356359-1456329767-1000\...\Run: [Adobe Reader Synchronizer] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AdobeCollabSync.exe" BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku FirewallRules: [{9B8C8A2C-7C2C-4270-A270-4CAC906EE570}] => (Allow) C:\Windows\system32\ezSharedSvcHost.exe FirewallRules: [{4FD5DA3C-5AE4-4912-83BA-291517287AF0}] => (Allow) C:\Program Files (x86)\EasyBits For Kids\ezDesktop.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Common Files\Adobe RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\CyberLink RemoveDirectory: C:\ProgramData\Easybits Magic Desktop for HP RemoveDirectory: C:\Users\Tomek\AppData\Local\Mozilla RemoveDirectory: C:\Users\Tomek\AppData\Roaming\Mozilla CMD: del /q C:\Windows\SysWOW64\ezSharedSvcHost.exe Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\CLKMSVC10_38F51D56" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BDRegion" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Easybits Recovery" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RemoteControl10" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 4. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix wykonany. Kończymy: Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione, adware pomyślnie usunięte. Drobne poprawki na uprzednio brakującą część raportu głównego FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\HWdMH RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\Users\Robert\REACHit RemoveDirectory: C:\Users\Robert\AppData\Local\Avg RemoveDirectory: C:\Users\Robert\AppData\Roaming\AVG RemoveDirectory: C:\Users\Robert\AppData\Roaming\Shortcut RemoveDirectory: C:\Users\Robert\Desktop\Stare dane programu Firefox RemoveDirectory: C:\zoek_backup CMD: del /q C:\WINDOWS\SysWOW64\pl.html Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi już potrzebne.