picasso
-
Postów
36 524 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez picasso
-
Złośliwe oprogramowanie - przekierowania yoursites123.com
picasso odpowiedział(a) na Pawel7 temat w Dział pomocy doraźnej
Poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\V9 DeleteKey: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\delta-homes.com DeleteKey: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.delta-homes.com DeleteKey: HKCU\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\delta-homes.com DeleteKey: HKCU\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.delta-homes.com DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\delta-homesSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\omniboxesSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9 DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\KMSpico RemoveDirectory: C:\ProgramData\8WdsManPro8 RemoveDirectory: C:\ProgramData\SWdsManProS RemoveDirectory: C:\Users\Pawel\AppData\Roaming\WinZipper RemoveDirectory: C:\Windows\system32\log RemoveDirectory: C:\Windows\system32\Tasks\Lenovo RemoveDirectory: C:\zoek_backup Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi potrzebne. -
Log z FRST źle skonfigurowany, sekcje "MD5 sterowników" i "Lista BCD" nie miały być zaznaczone. Do wykonania następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\DWdMD\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\JKB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX ShortcutWithArgument: C:\Users\JKB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX ShortcutWithArgument: C:\Users\JKB\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX ShortcutWithArgument: C:\Users\JKB\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} HKU\S-1-5-21-3582058436-4257138138-2262642435-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX HKU\S-1-5-21-3582058436-4257138138-2262642435-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} SearchScopes: HKU\S-1-5-21-3582058436-4257138138-2262642435-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX&q={searchTerms} StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449649453&z=c05ab63d608d926837a4d54g7zez0t0q0z8t1z1z4b&from=ient07021&uid=HitachiXHTS545025B9A300_100303PBN206ASC285XLX C:\Program Files (x86)\AVG C:\ProgramData\Auslogics C:\ProgramData\AVG C:\ProgramData\DWdMD C:\ProgramData\SWdMS C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\Users\JKB\AppData\Local\Avg C:\Users\JKB\AppData\Roaming\AVG C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Wszystko zrobione, hijacker usunięty. Teraz drobne poprawki: 1. Otwórz Notatnik i wklej w nim: (Amazon Inc.) C:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe R2 Amazon 1Button App Service; C:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe [456000 2015-09-17] (Amazon Inc.) IE trusted site: HKU\.DEFAULT\...\amazon.com -> amazon.com IE trusted site: HKU\S-1-5-21-1379735399-1450969573-2400207767-1001\...\amazon.com -> amazon.com Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: del /q C:\Users\Zuzanna\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Amazon RemoveDirectory: C:\Users\Zuzanna\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.
-
Hijacker wślizgnął się przypuszczalnie z jakiegoś "Asystenta pobierania": KLIK. Był tu niepotrzebne stosowany ComboFix, na ten temat: KLIK. Obecnie to nawet nie jest dobry program do czyszczenia adware, są inne bardziej specjalizowane. Przeprowadź następujące działania: 1. Odinstaluj wątpliwy skaner SpyHunter 4. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 ShortcutWithArgument: C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 ShortcutWithArgument: C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 ShortcutWithArgument: C:\Users\Public\Desktop\FIFA 15.lnk -> E:\Program Files (x86)\FIFA 15\FIFA 15\Launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} SearchScopes: HKU\S-1-5-21-4265689537-3529688487-1946468061-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4265689537-3529688487-1946468061-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4265689537-3529688487-1946468061-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia Task: {3E2EC08B-73CA-46FB-874A-271FABADA93E} - \Steam_x64-S-2-106-91 -> Brak pliku Task: {9E8E992F-D811-4698-AF9F-5C93310C695C} - System32\Tasks\{6B8F8BFA-4EC5-41E3-868D-B7ED528CB070} => pcalua.exe -a C:\Users\7\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll [brak pliku] U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] U4 CmdAgent; Brak ImagePath S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files\ACD Systems C:\Program Files (x86)\Google C:\Program Files (x86)\Opera C:\ProgramData\Avg C:\ProgramData\FWdMF C:\ProgramData\lWdMl C:\ProgramData\MFAData C:\Users\7\AppData\Local\ACD Systems C:\Users\7\AppData\Local\Avg C:\Users\7\AppData\Local\AvgSetupLog C:\Users\7\AppData\Local\Google C:\Users\7\AppData\Local\MFAData C:\Users\7\AppData\Roaming\AVG C:\Users\7\AppData\Roaming\Enigma Software Group C:\Users\7\AppData\Roaming\TuneUp Software C:\Users\7\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\7\Downloads\SpyHunter-Installer.exe C:\Windows\pss\Download.lnk.Startup C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\SysWOW64\pl.html Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^7^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Download.lnk" / Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VCVS01EN" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f DisableService: PLAY ONLINE. RunOuc CMD: net user ASPNET /delete CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Wszystko zrobione. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WdMan RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Windyy\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi potrzebne.
-
Otwarto pdf z fałszywego maila. Czy infekcję udało się zwalczyć?
picasso odpowiedział(a) na Diomedes temat w Dział pomocy doraźnej
DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam. -
Widać, że conamniej jeden raz pobierałeś coś z dobrychprogramów, więc przypuszczalnie adware wprowadził "Asystent pobierania" tegoż portalu: KLIK. Wykonaj następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\2WdM2\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files\Opera x64\opera.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951&q={searchTerms} HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951&q={searchTerms} HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951&q={searchTerms} CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951" FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt Task: {12D9F354-35AA-427E-820C-A22E62FE12B4} - System32\Tasks\{EAA4EF60-AFB2-4196-9323-159EBD537A9C} => pcalua.exe -a G:\Setup.exe -d G:\ Task: {48E333C3-1F80-48B8-B720-2367A1C97CCC} - System32\Tasks\{CD7F73B2-FEBE-4F61-A79F-7EE4ED111CC4} => Firefox.exe hxxp://ui.skype.com/ui/0/6.0.0.126.259/pl/go/help.faq.installer?LastError=1618 Task: {9E30BCEB-5EBC-4164-ABD5-FC76031CE1D5} - System32\Tasks\{773502F5-1059-4B0D-BFF8-211E95E7D3C2} => pcalua.exe -a "C:\Users\Franciszek\Desktop\Pobrane\Nowy folder (3)\Driver\DriverUninstall.exe" -d "C:\Users\Franciszek\Desktop\Pobrane\Nowy folder (3)\Driver" Task: {BB24DAC6-4E23-430C-B068-0479C66DC91C} - System32\Tasks\{44C9A943-829E-4E19-8CBC-0AD0FC27FADF} => Firefox.exe hxxp://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?source=lightinstaller&page=tsMain HKLM-x32\...\Run: [bEWINTERNET-PL-IEWSessionManager] => "C:\Program Files (x86)\OrangeBS\BEWInternet-PL-IEW\SessionManager\SessionManager.exe" Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-19\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} HKU\S-1-5-20\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} HKU\S-1-5-18\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\...\Run: [KiesAirMessage] => C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\...\Run: [AirDroid 3] => C:\Program Files (x86)\AirDroid\AirDroid.exe /start U0 ledhxv; C:\Windows\System32\drivers\kvxnql.sys [79064 2015-12-09] (Malwarebytes) S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S3 clwvd6; \SystemRoot\system32\DRIVERS\clwvd6.sys [X] S3 CV2K1; \SystemRoot\system32\DRIVERS\cv2k1.sys [X] S3 ewusbmbb; \SystemRoot\system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S3 pccsmcfd; \SystemRoot\system32\DRIVERS\pccsmcfdx64.sys [X] C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\2WdM2 C:\ProgramData\nWdMn C:\ProgramData\Microsoft\Windows\Start Menu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk C:\Spacekace C:\Users\Franciszek\AppData\Local\SelfExtractible.zip C:\Users\Franciszek\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Franciszek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Freezip.lnk C:\Users\Public\Desktop\FileViewPro.lnk C:\Users\Franciszek\Desktop\Ikony\Adobe Reader XI.lnk C:\Users\Franciszek\Desktop\Ikony\ImgBurn.lnk C:\Windows\system32\Drivers\kvxnql.sys Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Creative Cloud" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (ręcznie włącz ponownie). 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Addition uzupełniony, ale nie zauważyłam, że log główny FRST.txt jest niepoprawny i urwany do połowy, więc na razie usuwanie tylko tego co widać. Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH ShortcutWithArgument: C:\Users\Robert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH ShortcutWithArgument: C:\Users\Robert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH Edge HomeButtonPage: HKU\S-1-5-21-884423482-3915767466-712464105-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH HKU\S-1-5-21-884423482-3915767466-712464105-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH SearchScopes: HKU\S-1-5-21-884423482-3915767466-712464105-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH&q={searchTerms} SearchScopes: HKU\S-1-5-21-884423482-3915767466-712464105-1001 -> {25280AAC-302D-47BF-9988-F432D30F8069} URL = SearchScopes: HKU\S-1-5-21-884423482-3915767466-712464105-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449658666&z=ea30b835726d5511ef89d55g6z9z0t2q9w0bbq4zfw&from=ient07021&uid=ST1000LM014-SSHD-8GB_W7717AEHXXXXW7717AEH&q={searchTerms} HKU\S-1-5-21-884423482-3915767466-712464105-1001\...\Run: [AdobeBridge] => [X] Task: {065B604A-EB7C-4B23-84B1-31DA79FAE9F7} - System32\Tasks\PDVDServ Task => C:\Program Files (x86)\Lenovo\PowerDVD10\PDVD10Serv.EXE Task: {1B75C99D-78D1-471F-AE36-C88F5D3504C0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {29A9FFAB-068A-469C-9379-7285634F251C} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {2A40B27E-51C4-431F-AA9C-B5311F476F8C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {3100B651-17A2-4FA9-BFCB-7B5BC222BE2A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {34E34863-591E-4411-997F-5AE8B74509FB} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {3C7E2883-AAC9-459E-9967-67157CE3BA8B} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe Task: {4C88379A-AE16-412B-82C1-F0863A206397} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {63432EA8-CE0A-4938-96E6-93A7625AD9BC} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {672850B1-E713-429C-9AD1-5FDE52AE31C3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {70BE309C-7D07-42F3-80B8-13875D1485E5} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe Task: {8E5E41B0-3900-495C-B6F7-73C23B34D628} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A84CBEE1-C4B4-42D1-AA05-00FBFDB4FBCA} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe Task: {B4E31CF2-3E8D-4A9E-A819-FBB0F227DF5F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C7929347-7040-4186-B30E-694B17034AAD} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {E20E923C-C770-4A40-995F-EE53BF72F849} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {E953240C-D2E0-471D-954D-54D1F8FA38D8} - System32\Tasks\Lenovo App Services => C:\ProgramData\Lenovo App Services\Engine\LenovoAppServices.exe S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] C:\Users\Robert\AppData\Local\Opera Software C:\Users\Robert\AppData\Roaming\Opera Software C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Subtitle Workshop\Help\Manual*.lnk C:\Users\Public\Desktop\KMPFaster.lnk Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom Zoek. W oknie wklej: Metric Collection SDK;u Metric Collection SDK 35;u Klik w Run Script. W eksploratorze Windows menu Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > odznacz Ukryj rozszerzenia znanych plików i zmień ręcznie rozszerzenie wynikowego pliku na zoek-results.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i zoek-results.txt. Potwierdź ustąpienie problemów.
-
Virus zaszyfrował pliki - ".vvv" Jak je odszyfrować?
picasso odpowiedział(a) na t6p temat w Dział pomocy doraźnej
zerx, link wymazany! To jest jeden z owych sponsorowanych opisów mijających się z prawdą. Celem jest tylko pobranie wątpliwego skanera SpyHunter, który nie odkoduje plików wcale. -
Tym razem log FRST źle skonfigurowany: opcje "MD5 sterowników" + "Lista BCD" nie miały być zaznaczone... Problem stanowią wpisy AppInit_DLLs kierujące na moduły Lightzap odnawiające te przekierowania. Operacje do wykonania: 1. Odinstaluj stare wersje: Adobe Reader X (10.1.16) MUI, Adobe Shockwave Player 12.1, Java 6 Update 24 (64-bit), Java 6 Update 24. Przewertuj też inne aplikacje i czego nie używasz również odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Lightzap\Plusreddom.dll => C:\ProgramData\Lightzap\Plusreddom.dll [518656 2015-12-09] () AppInit_DLLs-x32: C:\ProgramData\Lightzap\Topsailtom.dll => C:\ProgramData\Lightzap\Topsailtom.dll [320512 2015-12-09] () S2 Lightzap; C:\ProgramData\\Lightzap\\Lightzap.exe -f "C:\ProgramData\\Lightzap\\Lightzap.dat" -l -a S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-09] () HKU\S-1-5-21-1590238946-3112356359-1456329767-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpckxO3PQdmsdB8UbwxBWOZSNtCRnWs0QAPr6yg-8BwQHv1FXLKxPpYOWpnvZumlV7VjUmSyejsWCGttYUzfajqN2iHyxTbmCZEss3dk1roL27LYl6H21e6jfpwLVe9CVjCL4ky-7yktbw,, HKU\S-1-5-21-1590238946-3112356359-1456329767-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpckxO3PQdmsdB8UbwxBWOZSNtCRnWs0QAPr6yg-8BwQHv1FXLKxPpYOWpnvZumlV7nPgOqaXg_anCBfgVtjll6KgvQ7Yu0Zzy1wW6xsyIUtfNd2dKP2GeRkYuuWbfb9iZ_gjrECTnu8Gg,,&q={searchTerms} HKU\S-1-5-21-1590238946-3112356359-1456329767-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpckxO3PQdmsdB8UbwxBWOZSNtCRnWs0QAPr6yg-8BwQHv1FXLKxPpYOWpnvZumlV7nPgOqaXg_anCBfgVtjll6KgvQ7Yu0Zzy1wW6xsyIUtfNd2dKP2GeRkYuuWbfb9iZ_gjrECTnu8Gg,,&q={searchTerms} HKU\S-1-5-21-1590238946-3112356359-1456329767-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpckxO3PQdmsdB8UbwxBWOZSNtCRnWs0QAPr6yg-8BwQHv1FXLKxPpYOWpnvZumlV7nPgOqaXg_anCBfgVtjll6KgvQ7Yu0Zzy1wW6xsyIUtfNd2dKP2GeRkYuuWbfb9iZ_gjrECTnu8Gg,,&q={searchTerms} SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=HPNTDF&pc=HPNTDF&src=IE-SearchBox SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpckxO3PQdmsdB8UbwxBWOZSNtCRnWs0QAPr6yg-8BwQHv1FXLKxPpYOWpnvZumlV7nPgOqaXg_anCBfgVtjll6KgvQ7Yu0Zzy1wW6xsyIUtfNd2dKP2GeRkYuuWbfb9iZ_gjrECTnu8Gg,,&q={searchTerms} SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKU\S-1-5-21-1590238946-3112356359-1456329767-1000 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKU\S-1-5-21-1590238946-3112356359-1456329767-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpckxO3PQdmsdB8UbwxBWOZSNtCRnWs0QAPr6yg-8BwQHv1FXLKxPpYOWpnvZumlV7nPgOqaXg_anCBfgVtjll6KgvQ7Yu0Zzy1wW6xsyIUtfNd2dKP2GeRkYuuWbfb9iZ_gjrECTnu8Gg,,&q={searchTerms} Task: {95230BBE-A5E0-41F0-A4A2-1DE6E9594693} - System32\Tasks\{35A59853-6A85-4FD2-95FD-627815B88FF0} => pcalua.exe -a "C:\Program Files (x86)\WinRAR\WinRAR.exe" -d C:\Users\Tomek\Desktop -c "C:\Users\Tomek\Desktop Task: {E9DE53ED-B4B8-440E-8131-6E52DB6B339A} - System32\Tasks\{38601B00-F9EF-4B24-8C60-C5089F39D9AA} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Zamzozwarm\uninstall.exe" -c -f "C:\Program Files (x86)\Common Files\Zamzozwarm\uninstall.dat" -a uninstallme B6EDBCB0-7A3B-4682-BB8B-EE124B2E12CA DeviceId=d1dd2932-58f5-97d7-fcac-44522e886b18 BarcodeId=50028003 ChannelId=3 DistributerName=APSFIsc HKLM-x32\...\Run: [] => [X] C:\ProgramData\lscb.lc C:\ProgramData\Lightzap C:\ProgramData\Lightzaps C:\Users\Tomek\AppData\Roaming\*.* C:\Users\Tomek\Desktop\Ze starego komputera\WA-PRO\Mozilla Firefox.lnk C:\Users\Tomek\Desktop\Ze starego komputera\WAZNE\Skype.lnk C:\Windows\System32\drivers\EsgScanner.sys C:\Windows\SysWOW64\findit.xml CMD: for /d %f in (C:\Users\Tomek\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Operacje do wdrożenia: 1. Deinstalacje zbędników: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Amazon 1Button App, Host App Service, Lenovo Experience Improvement, SHAREit (jeśli nie korzystasz), Start Menu. Host App Service + Start Menu to wątpliwej reputacji aplikacje Pokki integrowane na Lenovo, które zresztą już wyglądają na naruszone jakimś działaniem. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Zuzanna\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\tWdMt\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S1 wfdrvr_vw_1_10_0_28; system32\drivers\wfdrvr_vw_1_10_0_28.sys [X] ShortcutWithArgument: C:\Users\Zuzanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 ShortcutWithArgument: C:\Users\Zuzanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 ShortcutWithArgument: C:\Users\Zuzanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447961168&z=acdbe4dd161e92fa45b4404g2z9z0mctbqbe9b3w3b&from=cor&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Zuzanna\AppData\Roaming\Mozilla\Firefox\Profiles\bnqkxdrh.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Zuzanna\AppData\Roaming\Mozilla\Firefox\Profiles\bnqkxdrh.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Zuzanna\AppData\Roaming\Mozilla\Firefox\Profiles\bnqkxdrh.default\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Zuzanna\AppData\Roaming\Mozilla\Firefox\Profiles\bnqkxdrh.default\extensions\yahooprotected@gmail.com => nie znaleziono HKU\S-1-5-21-1379735399-1450969573-2400207767-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1379735399-1450969573-2400207767-1001\...\Policies\Explorer: [] CustomCLSID: HKU\S-1-5-21-1379735399-1450969573-2400207767-1001_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1379735399-1450969573-2400207767-1001_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1379735399-1450969573-2400207767-1001_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll => Brak pliku Task: {7D687F2C-6642-40D5-9306-704222F4CF50} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe C:\Program Files (x86)\SFK C:\Program Files (x86)\WordFly_1.10.0.28 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\9WMiniPro9 C:\ProgramData\Pokki C:\ProgramData\tWdMt C:\ProgramData\vWdMv C:\Users\Zuzanna\AppData\Local\SweetLabs App Platform C:\Users\Zuzanna\AppData\Roaming\TSv C:\Users\Zuzanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Pomyliłeś się i załączyłeś plik fixlist, usunęłam. Brakuje za to nowego skanu FRST Addition.txt. Uzupełnij.
-
Złośliwe oprogramowanie - przekierowania yoursites123.com
picasso odpowiedział(a) na Pawel7 temat w Dział pomocy doraźnej
Wszystko pomyślnie wykonane i infekcja wyleczona. Teraz jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. -
Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Proszę dołącz. PS. Na temat pobierania z dobrychprogramów: KLIK.
-
Posty dla porządku połączyłam. Oczywiście już udzielasz odpowiedzi w nowym poście, nie edytuj pierwszego. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\QWdMQ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-09] () S4 NVHDA; system32\drivers\nvhda64v.sys [X] ShortcutWithArgument: C:\Users\Windyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 ShortcutWithArgument: C:\Users\Windyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 ShortcutWithArgument: C:\Users\Windyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 ShortcutWithArgument: C:\Users\Windyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 ShortcutWithArgument: C:\Users\Windyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192&q={searchTerms} SearchScopes: HKU\S-1-5-21-67032335-2401925526-3629021281-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-67032335-2401925526-3629021281-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = StartMenuInternet: FIREFOX.EXE - D:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449648957&z=abebfbd0331a156ee7a100cg9zbzdt7q4z4bdt6wet&from=ient07021&uid=ADATAXSP900_7D3520010192 FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - D:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SMSetup C:\Program Files (x86)\Temp C:\ProgramData\8WdM8 C:\ProgramData\QWdMQ C:\Windows\system32\Drivers\EsgScanner.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze tematy. Wydzieliłam temat. Wymagane są też oczywiście logi: Nie jest powiedziane na czym to konkretnie polega. Sugestie: - Wyłącz program antywirusowy na czas pobierania i uruchamiania FRST. - Zmień nazwę pobranego pliku FRST na dowolną inną i spróbuj program uruchomić.
-
Złośliwe oprogramowanie - przekierowania yoursites123.com
picasso odpowiedział(a) na Pawel7 temat w Dział pomocy doraźnej
czarnewrony Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze tematy. Temat wydzielony tu: KLIK. Pawel7 W eksploratorze Windows menu Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > odznacz Ukryj rozszerzenia znanych plików, a będziesz w stanie zmienić ręcznie nazwę pliku. -
Reklamy GetPrivate - próba usunięcia i brak internetu
picasso odpowiedział(a) na Kula1612 temat w Dział pomocy doraźnej
komar1993 Usunęłam ten link do "opisu usuwania GetPrivate". To jeden z lewych opisów, których cel to nakierowanie na instalację wątpliwego skanera SpyHunter. Kula1612 Problemem jest proxy (Privoxy) wstawione przez adware. Obiektów adware jest jednak o wiele więcej. Niestety już zdążyłeś użyć SpyHunter, z daleka od tego wyrobu. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: - Z poziomu Panelu sterowania: Java 7 Update 71 (64-bit), Java 8 Update 31, Norton Security Scan, ophcrack 3.6.0. - Z poziomu Menu Start: Real Alternative. - Zastosuj specjalny usuwacz SUPERAntiSpyware Uninstaller Assistant. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {01531192-f7ef-415f-a549-cfdb11836731}w64; C:\Windows\System32\drivers\{01531192-f7ef-415f-a549-cfdb11836731}w64.sys [60704 2014-05-20] (StdLib) R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}w64; C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}w64.sys [61072 2014-08-22] (StdLib) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-11-24] () R2 PrivoxyService; C:\Program Files (x86)\AFC Secure Net\privoxy.exe [371200 2015-11-30] (The Privoxy team - www.privoxy.org) [brak podpisu cyfrowego] R2 Update ClearThink; C:\Program Files (x86)\ClearThink\updateClearThink.exe [323312 2014-09-11] () R2 Update Surftastic; C:\Program Files (x86)\Surftastic\updateSurftastic.exe [322984 2014-09-09] () R2 Util ClearThink; C:\Program Files (x86)\ClearThink\bin\utilClearThink.exe [323312 2014-09-14] () R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-03-27] (StdLib) S3 andnetadb; System32\Drivers\lgandnetadb.sys [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X] S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X] S3 X6va011; \??\C:\Windows\SysWOW64\Drivers\X6va011 [X] S3 X6va012; \??\C:\Windows\SysWOW64\Drivers\X6va012 [X] S3 X6va013; \??\C:\Windows\SysWOW64\Drivers\X6va013 [X] S3 X6va015; \??\C:\Windows\SysWOW64\Drivers\X6va015 [X] S3 X6va022; \??\C:\Windows\SysWOW64\Drivers\X6va022 [X] S3 X6va023; \??\C:\Windows\SysWOW64\Drivers\X6va023 [X] HKU\S-1-5-21-3902127326-1100159256-351901547-1000\...\Run: [EpicScale] => 0 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Updater.lnk [2015-05-18] BootExecute: autocheck autochk * aswBoot.exe /M:283d9819d9 /wow /dir:"C:\Program Files\AVAST Software\Avast" CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {029CEB8D-711D-4B20-B5E7-1E9D47DFF20C} - System32\Tasks\{947A3AEF-7E98-4A32-93A0-C76DBBD13C7E} => pcalua.exe -a "C:\Program Files (x86)\WinRAR\WinRAR.exe" -d C:\Users\user\Downloads -c "C:\Users\user\Downloads\LEGOMarvelDemo.zip" Task: {0423A899-6A1B-41DD-95E8-06195FE46933} - System32\Tasks\{057300D9-21F4-4715-8445-D55317D37659} => C:\Users\user\Downloads\The_Binding_of_Isaac_Rebirth.exe [2015-08-09] (Games on Cat-A-Cat.Net ) Task: {058C69D3-2F15-44DD-AD4E-1023B78E625B} - System32\Tasks\{3DD47F38-994A-491B-AA40-2871874536C2} => pcalua.exe -a C:\Users\user\Downloads\powersetup.exe -d C:\Users\user\Downloads Task: {066EEDFA-9703-410A-A694-4C1223E76A14} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe Task: {12D1BBFD-E103-4CB1-B806-680A64BDE0CD} - System32\Tasks\{DAE7613D-3C10-41BC-A9AA-22D1A6D35EE5} => Firefox.exe hxxp://ui.skype.com/ui/0/7.3.0.101/pl/go/help.faq.installer?LastError=1618 Task: {13B76353-7111-461F-82B2-99561F32CA4C} - System32\Tasks\{DE5449FA-573A-4CD0-ABE8-EAB54824B012} => C:\Program Files (x86)\Mount&Blade Warband\mb_warband.exe Task: {14EB0E86-68AA-4868-81C1-7C8A5D8729ED} - System32\Tasks\{D1733003-67EE-4308-9E98-3F68CE5F74BA} => pcalua.exe -a "C:\Program Files (x86)\DAEMON Tools Lite\InstallGadget.exe" -d "D:\Games\Nowy folder" -c "D:\Games\Nowy folder\CIVILIZATION V NOWY WSPANIAŁY ŚWIAT [ 2013 ] PC.part1.rar" Task: {194D614D-1568-42F4-BEBB-30F7B8B4BCE2} - System32\Tasks\{D86CF1DF-D0B3-4492-A504-BDAA77B2CB85} => pcalua.exe -a C:\Users\user\Downloads\RemoveWGA1.2_www.INSTALKI.pl.exe -d C:\Users\user\Downloads Task: {20A0DDFD-815A-428D-A427-F27DAED05537} - System32\Tasks\{C9B309D4-D702-44ED-8260-198328DB8211} => D:\SG Interactive\Crossfire Europe\CF_SGIN.exe Task: {281E9F14-6CA5-4545-8BC3-31CCC81DAAF2} - System32\Tasks\{EE9DE841-B21A-434C-9404-DAB1BDD7F6AE} => Chrome.exe hxxp://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?page=tsProgressBar Task: {2B0A5F98-A157-40CA-8E2B-71EAFF65357D} - System32\Tasks\{9BB6A097-3B16-453D-A9E8-62390074D34F} => Firefox.exe hxxp://ui.skype.com/ui/0/7.3.0.101/pl/go/help.faq.installer?LastError=1618 Task: {4BAF1BA3-419A-4415-8F37-B19C799DC1E0} - System32\Tasks\{3BE76094-2D70-4CB9-A4FE-2CC9FB68675F} => pcalua.exe -a C:\ProgramData\LGMOBILEAX\LGMLauncher.exe -d C:\ProgramData\LGMOBILEAX Task: {4EA3DD90-0EBE-484C-8332-FEDE4C8F8D15} - System32\Tasks\{707DEFF8-864E-415A-A5AD-D7675ADBC8E9} => pcalua.exe -a "C:\Users\user\Desktop\Jakieś dokumenty\MinecraftZyczu.exe" -d "C:\Users\user\Desktop\Jakieś dokumenty" Task: {579BE61C-7CA1-4AEB-A40D-2E3B9CC85CD9} - System32\Tasks\Upload Update Cleaner => C:\Program Files (x86)\Upload Update\UploadUpdate.exe [2015-07-30] (Secure Best Updater) Task: {61D85B7F-B095-49DA-ADEB-AF2EF0DEFCAB} - System32\Tasks\{29FFD11F-EDF2-4391-B713-DFB60D1831ED} => pcalua.exe -a C:\Users\user\Desktop\MinecraftZyczu.exe -d C:\Users\user\Desktop Task: {7107564E-9B40-49D3-80B3-4C9265097F02} - System32\Tasks\{FF917F96-AF73-4FF5-A692-3CB810E2C070} => Chrome.exe hxxp://ui.skype.com/ui/0/6.11.0.102/pl/abandoninstall?page=tsProgressBar Task: {77DDB017-2D56-4727-B44A-24AE4221A738} - System32\Tasks\{EE5775A6-3415-4D46-A358-DF19BC2D17EE} => pcalua.exe -a C:\Users\user\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {8064C076-0306-4984-BF8D-2F016E1E0EDB} - System32\Tasks\{EAE312DD-3805-4AF3-9EED-6DA27B647AAF} => pcalua.exe -a "C:\Program Files (x86)\EA Games\Battlefield Heroes\uninstaller.exe" -c "C:\Program Files (x86)\EA Games\Battlefield Heroes\Uninstall.xml" Task: {892A749A-75D4-4363-96D7-3A87044198D6} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe [2014-09-20] (Megaify Software Co., Ltd.) Task: {9261C1D5-55EF-440E-A3B3-3F7D8D90453E} - System32\Tasks\{09CF6BB4-53C9-459E-B8F0-2D08D0A24153} => pcalua.exe -a C:\Users\user\Desktop\MinecraftZyczu(1).exe -d C:\Users\user\Desktop Task: {A595625B-BE5C-4079-8021-4A237ACDAFE9} - System32\Tasks\{481EB556-2557-415F-A320-AF31205D1AF7} => pcalua.exe -a C:\Users\user\Desktop\Kuba\MinecraftZyczu(1).exe -d C:\Users\user\Desktop\Kuba Task: {A7089C68-4C3B-4776-875F-2474E1A1C651} - System32\Tasks\{A2D4AB3B-5156-4DAE-972B-B699BDDD03AA} => pcalua.exe -a C:\Users\user\Downloads\B2CAppSetup.exe -d C:\Users\user\Downloads Task: {AA50301E-33A2-445B-9C0D-FDE0BA635629} - System32\Tasks\{04477375-3690-41B2-9F4A-85EC1F7749A8} => pcalua.exe -a C:\Users\user\Downloads\heroes_might_magic_5_1.06_us.exe -d C:\Users\user\Downloads Task: {BCF94B32-13DA-4456-B00B-18BC98CED4EF} - System32\Tasks\{D2921AEA-33E9-41DF-98B5-0C4EA1B47B71} => pcalua.exe -a "C:\Users\user\Desktop\Jakieś dokumenty\Kuba ^^\MinecraftZyczu(1).exe" -d "C:\Users\user\Desktop\Jakieś dokumenty\Kuba ^^" Task: {BE80FBFE-94D3-4493-A743-9718158686D5} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2015-12-03] (AVAST Software) Task: {C08B5CE9-B0ED-4C59-9D8A-DA99018559E4} - System32\Tasks\{13F4FC01-E906-4D34-AE94-E606DBD6EDAB} => pcalua.exe -a C:\Users\user\Downloads\The_Binding_of_Isaac_Rebirth.exe -d C:\Users\user\Downloads Task: {D081CF90-0774-4666-95A5-7D38E9B9A69A} - System32\Tasks\{791670B0-DB45-42C9-8CF6-244913F56461} => pcalua.exe -a G:\crack\TWEE_Upgrade\Disk1\setup.exe -d G:\crack\TWEE_Upgrade\Disk1 Task: {D44FDA9D-CE6C-4427-939B-FBFCC63B4E3F} - System32\Tasks\{3FE5AE0E-D11B-4330-98B9-F476F1616746} => pcalua.exe -a E:\pelne\Wargame\Setup.exe -d E:\pelne\Wargame Task: {DFD3D490-4414-4355-81A9-220E91D71A3E} - System32\Tasks\{868CF27B-3B23-4AFF-9CE8-4E31A003CA44} => C:\Program Files (x86)\Origin Games\SimCity\SimCity\SimCity.exe Task: {F50B7883-8A82-48FD-87C3-5C004F28A1C6} - System32\Tasks\{A0E8C36D-D83E-4FEF-8AE8-1FE85DB22342} => pcalua.exe -a C:\Users\user\Downloads\MinecraftZyczu.exe -d C:\Users\user\Downloads Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://websearch.searchtotal.info/?pid=24388&r=2015/05/26&hid=6274663132648393333&lg=EN&cc=PL&unqvl=88 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1397469937&from=cor&uid=ST3320620AS_9QFABFGMXXXX9QFABFGM&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1397469937&from=cor&uid=ST3320620AS_9QFABFGMXXXX9QFABFGM HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1397469937&from=cor&uid=ST3320620AS_9QFABFGMXXXX9QFABFGM&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3902127326-1100159256-351901547-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} HKU\S-1-5-21-3902127326-1100159256-351901547-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.pl/?gws_rd=ssl SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1397469937&from=cor&uid=ST3320620AS_9QFABFGMXXXX9QFABFGM&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1397469937&from=cor&uid=ST3320620AS_9QFABFGMXXXX9QFABFGM&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2498} URL = hxxp://www.default-search.net/search?sid=498&aid=146&itype=a&ver=12791&tm=363&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = hxxps://search.protectedio.com/search.php/?q={searchTerms}&u=ed8d2ecf7011b253ef33d10715fa60af&c=p1&src=srch&inst=1439648403 SearchScopes: HKLM-x32 -> {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = hxxps://search.protectedio.com/search.php/?q={searchTerms}&u=ed8d2ecf7011b253ef33d10715fa60af&c=p1&src=srch&inst=1439648403 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1397469937&from=cor&uid=ST3320620AS_9QFABFGMXXXX9QFABFGM&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2498} URL = hxxp://www.default-search.net/search?sid=498&aid=146&itype=a&ver=12791&tm=363&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchtotal.info/?l=1&q={searchTerms}&pid=24388&r=2015/05/26&hid=6274663132648393333&lg=EN&cc=PL&unqvl=88 SearchScopes: HKU\S-1-5-21-3902127326-1100159256-351901547-1000 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = hxxps://search.protectedio.com/search.php/?q={searchTerms}&u=ed8d2ecf7011b253ef33d10715fa60af&c=p1&src=srch&inst=1439648403 SearchScopes: HKU\S-1-5-21-3902127326-1100159256-351901547-1000 -> {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = hxxps://search.protectedio.com/search.php/?q={searchTerms}&u=ed8d2ecf7011b253ef33d10715fa60af&c=p1&src=srch&inst=1439648403 SearchScopes: HKU\S-1-5-21-3902127326-1100159256-351901547-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2498} URL = hxxp://www.default-search.net/search?sid=498&aid=146&itype=a&ver=12791&tm=363&src=ds&p={searchTerms} SearchScopes: HKU\S-1-5-21-3902127326-1100159256-351901547-1000 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} SearchScopes: HKU\S-1-5-21-3902127326-1100159256-351901547-1000 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchtotal.info/?l=1&q={searchTerms}&pid=24388&r=2015/05/26&hid=6274663132648393333&lg=EN&cc=PL&unqvl=88 BHO: Brak nazwy -> {11111111-1111-1111-1111-110411851159} -> Brak pliku BHO: Brak nazwy -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> Brak pliku BHO: Brak nazwy -> {A4FA9A0D-BFF2-4E1E-404B-3AEA9827203A} -> Brak pliku BHO: Brak nazwy -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> Brak pliku BHO: Brak nazwy -> {AEA9D0A8-D420-4B8A-9F15-E8CE9AC85F6F} -> Brak pliku BHO-x32: Brak nazwy -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> Brak pliku BHO-x32: Brak nazwy -> {AEA9D0A8-D420-4B8A-9F15-E8CE9AC85F6F} -> Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [2013-09-20] (Pando Networks) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-06-06] (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-06-06] (globalUpdate) FF Plugin HKU\S-1-5-21-3902127326-1100159256-351901547-1000: pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [2013-09-20] (Pando Networks) CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2014-04-11] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\FLV Player DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg C:\Program Files\Enigma Software Group C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\AFC Secure Net C:\Program Files (x86)\ClearThink C:\Program Files (x86)\CostMin C:\Program Files (x86)\DriverToolkit C:\Program Files (x86)\fst_pl_116 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\Pando Networks C:\Program Files (x86)\PriceMiNus C:\Program Files (x86)\RegClean Pro C:\Program Files (x86)\SimpleFiles C:\Program Files (x86)\SimpleFilesUpdater C:\Program Files (x86)\Supporter C:\Program Files (x86)\Surftastic C:\Program Files (x86)\Upload Update C:\Program Files (x86)\Windows Updater C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\ProgramData\HirezPipeError.txt C:\ProgramData\7daec4cbfca81e58 C:\ProgramData\9056392281084927576 C:\ProgramData\AVAST Software C:\ProgramData\CostMin C:\ProgramData\EpicScale C:\ProgramData\hjpcdhbppclgjlicnbcbfommcjeeiapa C:\ProgramData\systemk C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{67222651-C4A8-4BF1-96B4-953D41B10019} C:\ProgramData\Microsoft\Windows\Start Menu\µTorrent.lnk C:\ProgramData\Microsoft\Windows\Start Menu\SimpleFiles C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AppsHat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Brick-Force C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossfire Europe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DriverToolkit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fizzy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Lunch Design C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FreeSoftToday C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\gPotato.eu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nexon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Overspeed C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Play C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SimCity™ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SSIII Solo Ultratus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Xfire C:\ProgramData\Microsoft\Windows\Start Menu\SimpleFiles C:\Users\user\AppData\Local\11594 C:\Users\user\AppData\Local\Chromatic Browser C:\Users\user\AppData\Local\Comodo C:\Users\user\AppData\Local\DriverToolkit C:\Users\user\AppData\Local\FilesFrog Update Checker C:\Users\user\AppData\Local\fst_pl_116 C:\Users\user\AppData\Local\Mobogenie C:\Users\user\AppData\Local\Opera Software C:\Users\user\AppData\Local\PowerChallenge C:\Users\user\AppData\Local\Torch C:\Users\user\AppData\Local\WebPlayer C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{2A587A5C-A50B-4D42-AD49-1EB61973541B} C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{59A9B906-1795-4ADB-A711-027A22A36687} C:\Users\user\AppData\Roaming\EDC7.tmp C:\Users\user\AppData\Roaming\OpenCandy C:\Users\user\AppData\Roaming\Opera Software C:\Users\user\AppData\Roaming\systweak C:\Users\user\AppData\Roaming\Updater C:\Users\user\AppData\Roaming\VOPackage C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Crossfire Europe C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Duel of Champions Launcher C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MiniGet C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft C:\Users\user\Desktop\League of Legends.lnk C:\Users\user\Desktop\Jakieś dokumenty\Avast*.lnk C:\Users\user\Desktop\Jakieś dokumenty\DriverToolkit.lnk C:\Users\user\Desktop\Jakieś dokumenty\Duel of Champions Launcher.lnk C:\Users\user\Desktop\Jakieś dokumenty\ExMachina Arcade.lnk C:\Users\user\Desktop\Jakieś dokumenty\Farming Simulator Classic.lnk C:\Users\user\Desktop\Jakieś dokumenty\FLV Player.lnk C:\Users\user\Desktop\Jakieś dokumenty\Gameforge Live.lnk C:\Users\user\Desktop\Jakieś dokumenty\Gameforge Live (2).lnk C:\Users\user\Desktop\Jakieś dokumenty\Gothic III.lnk C:\Users\user\Desktop\Jakieś dokumenty\Play Rayman 3.lnk C:\Users\user\Desktop\Jakieś dokumenty\Kuba ^^\Mozilla Firefox.lnk C:\Users\user\Desktop\Jakieś dokumenty\Kuba ^^\Shards of War.lnk C:\Users\user\Desktop\Jakieś dokumenty\Kuba ^^\Sid Meiers Civilization Beyond Earth.lnk C:\Users\user\Desktop\Jakieś dokumenty\NIE TYKAĆ\Brick-Force.lnk C:\Users\user\Desktop\Jakieś dokumenty\NIE TYKAĆ\Heroes3 — skrót.lnk C:\Users\user\Desktop\Jakieś dokumenty\NIE TYKAĆ\Origin.lnk C:\Users\user\Desktop\Jakieś dokumenty\NIE TYKAĆ\SimCity™.lnk C:\Users\user\Downloads\sh-remover.exe C:\Users\UpdatusUser\AppData\Local\Comodo C:\Users\UpdatusUser\AppData\Local\Google C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\System32\drivers\{01531192-f7ef-415f-a549-cfdb11836731}w64.sys C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}w64.sys C:\Windows\System32\drivers\EsgScanner.sys C:\Windows\System32\drivers\wStLibG64.sys CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt ma być w tym samym katalogu skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i się na niego zaloguj, a stary w opcjach usuń. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt. -
Microsoft Office 15 odinstalowany i pełno problemów
picasso odpowiedział(a) na tomcio123 temat w Dział pomocy doraźnej
Zastosuj ServicesRepair. Jeśli nie pomoże, podaj raport z Farbar Service Scanner. Jeśli chodzi o opcjonalne aktualizacje, to należy przeczytać opisy tych pozycji o nazwie "Aktualizacja systemu", czy opisywane problemy w ogóle występują u Ciebie, w przeciwnym wypadku nie trzeba ich instalalować. "Pakiet językowy .NET" można sobie darować. Natomiast komponent Intel do instalacji. -
coldsearch.com przekierowuje każde wyszukiwanie
picasso odpowiedział(a) na InsideLucy temat w Dział pomocy doraźnej
Przeprowadź następującą operację: 1. Zainstaluj najnowszą Java, link w przyklejonym: KLIK. Następnie uruchom specjalny deinstalator Java: KLIK. On powinien usunąć odpadki starej wersji z pominięciem najnowszej. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. -
Złośliwe oprogramowanie - przekierowania yoursites123.com
picasso odpowiedział(a) na Pawel7 temat w Dział pomocy doraźnej
Posty połączyłam, logi uzupełnione. Nie edytuj pierwszego posta, odpowiadasz mi już w nowym. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IhPul; C:\Users\Pawel\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\rWdMr\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC ShortcutWithArgument: C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC ShortcutWithArgument: C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC Edge HomeButtonPage: HKU\S-1-5-21-146596287-35509435-1045254187-1001 -> hxxp://www.delta-homes.com/?type=hp&ts=1444728147&z=b324f567ebd54bef6b8468fg5z6z1z7m9o4bag1w0e&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447147134&z=48c0fb04382d2d6d91d67fbg8zfz6mcg3z9meg0cam&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447147134&z=48c0fb04382d2d6d91d67fbg8zfz6mcg3z9meg0cam&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447147134&z=48c0fb04382d2d6d91d67fbg8zfz6mcg3z9meg0cam&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447147134&z=48c0fb04382d2d6d91d67fbg8zfz6mcg3z9meg0cam&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms} HKU\S-1-5-21-146596287-35509435-1045254187-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1448365998&z=b3d54bf9715e48f1c2f5bb5g1z4zfb1c2q3qae6e6g&from=ient07031&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms} HKU\S-1-5-21-146596287-35509435-1045254187-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC HKU\S-1-5-21-146596287-35509435-1045254187-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448365998&z=b3d54bf9715e48f1c2f5bb5g1z4zfb1c2q3qae6e6g&from=ient07031&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-146596287-35509435-1045254187-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms} HKLM-x32\...\Run: [] => [X] Task: {18FF97B4-BC3D-4D8D-81CC-42BDFC60ADEB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {1C1C2548-5703-4EA5-B792-63DE8AE689A5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {3D63C834-A09A-40C3-98AC-AAA9DB7A92E2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {3DB82585-FD77-46D3-866E-A67E4B98223D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {53B60FF0-89DC-48DD-BAE3-7A41A2BCCB8B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5D09BE28-548F-49AE-A7FC-B7CB5F15E397} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {64070D48-615A-4E4D-8BE0-12DE5A89A379} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {7C017319-A8E5-41C9-9163-E3FF6E3D7DC6} - System32\Tasks\Opera scheduled Autoupdate 1443548199 => C:\Program Files (x86)\Opera\launcher.exe Task: {7E668E88-CF9A-4D1D-A029-DBC061CD518B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {9FB6D558-9EAA-4AA5-BB2C-C087FBE58DD4} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {C1E801CC-85A4-42B4-A111-CC38114C45FD} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D853FF5C-D241-4D6B-B002-DADDE10856AB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {E3CCA863-B7E6-41C1-AF5E-3C4FBD5BA448} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {E5D15AA9-90C7-434A-BDB0-1F8EAB8FD582} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe C:\Program Files (x86)\Google C:\Program Files (x86)\SFK C:\Program Files (x86)\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\2WMiniPro2 C:\ProgramData\pWMiniProp C:\ProgramData\rWdMr C:\ProgramData\XWdMX C:\ProgramData\Microsoft\Windows\GameExplorer\{B0019ED2-40D2-406A-AF66-6B67AC75B858} C:\Users\Pawel\AppData\Local\Google C:\Users\Pawel\AppData\Roaming\TSv C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa (2).lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom Zoek. W oknie wklej: Metric Collection SDK 35;u Klik w Run Script. Zmień rozszerzenie wynikowego pliku na zoek-results.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i zoek-results.txt. Potwierdź ustąpienie problemów. -
coldsearch.com przekierowuje każde wyszukiwanie
picasso odpowiedział(a) na InsideLucy temat w Dział pomocy doraźnej
Wszystko zrobione. Aczkolwiek jest jedna rozbieżność. Podałam by odinstalować starszą Java i rzeczywiście wpis już zniknął z listy odinstalowanych, ale nie zniknęły komponenty Java: nadal widać wpisy w rejestrze oraz aktywny proces aktualizatora Java. Pytaniem jest więc czy w międzyczasie nie doinstalowała się nowsza Java? -
Microsoft Office 15 odinstalowany i pełno problemów
picasso odpowiedział(a) na tomcio123 temat w Dział pomocy doraźnej
Usługę Centrum pomyślnie włączyłam w skrypcie FRST. Skoro ikona nadal się nie pojawia w zasobniku, to jeszcze załaduj taki oto fix: 1. Otwórz Notatbik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system. Wszystkie "Ważne" do zainstalowania bez zastanawiania się, a 6 opcjonalnych to zależy co to za aktualizacje, nie wiem przecież co Ci się pokazało. -
Strona startowa omniboxes.com w Operze i dziwne programy
picasso odpowiedział(a) na Krzychu58 temat w Dział pomocy doraźnej
Tak, należy uzupełnić wcześniejsze aktualizacje, wśród nich są także i te które są wymagane, by zaktualizować do wersji 8.1. -
PoolBrowser.dll - Błąd RunDll nie można odnaleźć określonego modułu.
picasso odpowiedział(a) na Thunderpants temat w Dział pomocy doraźnej
EDIT: Thunderpants, ten dodany plik "Addition.txt" nie pochodzi z Twojego systemu XP i go również usuwam - to pobrany skądś stary log pochodzący z jakiegoś 64-bitowego Windows 8. Proszę zrób porządnie logi z FRST wg instrukcji: KLIK. Mają powstać trzy pliki: FRST.txt, Addition.txt, Shortcut.txt. Nie zmieniaj nazw plikom, załaduj je w takiej formie jak powstały na dysku. A ten widoczny załącznik "FRST - Scan 01.txt " zostaw do wglądu, i powtarzam, to nie jest log z FRST tylko ze skanera MBAM.