dam1983 utworzono 9 stycznia 2016 utworzono 9 stycznia 2016 Witam, Jak w temacie. Będę bardzo wdzięczny za pomoc w odinstalowaniu tego czegoś!!! W załączniku potrzebne logi [attachment=46659:AdwCleanerC1.txt] [attachment=46660:AdwCleanerS1.txt] [attachment=46661:FRST_09-01-2016_22-52-45.txt] [attachment=46662:Addition_09-01-2016_22-52-45.txt]
Twój_Anioł_Stróż komentarz 10 stycznia 2016 komentarz 10 stycznia 2016 [-] Plik usunięto : C:\Users\Damian\Documents\IR IWONA RAKOCZY - CEIDG.pdf [-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - dra 08.2014.jpg [-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - dra 09.2014.jpg [-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - dra 10.2014.jpg [-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - dra 11.2014.jpg [-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - dra 12.2014.jpg [-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - vat7 07.2014.pdf [-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - vat7 08.2014.pdf [-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - vat7 09.2014.pdf [-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - vat7 10.2014.pdf [-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - vat7 11.2014.pdf [-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - vat7 12.2014.pdf Z nieznanego mi powodu Adw-Cleaner usunął pliki, które wyglądają na Twoje. Jeśli chcesz je odzyskać, to wyciągnij je z Kwarantanny Adw-Cleaner (chyba trzeba przy tym usuwać z ich nazwy przyrostek *.vir) Kwarantanna Adw-Cleanera jest w folderze C:\AdwCleaner (albo w C:\Users\Damian\Downloads). Otwórz Notatnik i wklej w nim: c:\programdata\{3ca27b95-e507-e41c-3ca2-27b95e50ee57} DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1451292593&z=13c090d4d50a796e70392c5g2z3w8gbo6t3oeqee6z&from=wpm12253&uid=TOSHIBAXMK5061GSY_51QIP0LSTXX51QIP0LST&q={searchTerms} Edge HomeButtonPage: HKU\S-1-5-21-41493053-3958052129-3170778977-1000 -> hxxp://www.yoursites123.com/?type=hp&ts=1449649639&z=aa04fad3b36df64ddb22e5cgdz4z7t9q5z6t4q3wag&from=ient07021&uid=TOSHIBAXMK5061GSY_51QIP0LSTXX51QIP0LST FF DefaultSearchEngine: yoursites123 FF SearchPlugin: C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\apw7mhqy.default\searchplugins\yoursites123.xml [2015-12-28] CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => Brak pliku Task: {092AB363-CEC4-4274-89DB-1EF5FE18DE91} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {2DA52896-FF04-499D-BFCE-1120D76B4B42} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {3A472604-5A75-463B-A67C-F69BE6FF8412} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {3B8C820E-3F0A-43BA-8806-C524564AB1BF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {3BBD952A-5D69-46FD-99FC-681DD4D92F84} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {4438BF3E-0604-4AC5-8071-B249B04EE327} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {7ADDCDA3-96C2-4A6F-BDB8-5FC788552A0F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {AEEFA26C-2C5A-4238-B619-AC4E9F962EC4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {BD720BEF-A34C-4FB6-91E8-958490A472F4} - System32\Tasks\SlideLayer => c:\programdata\{3ca27b95-e507-e41c-3ca2-27b95e50ee57}\adobeacrobatdc2015fullcrack.exe-1437728708231.exe <==== UWAGA Task: {C6D9BDE4-D9A0-4038-9F2B-210756D77656} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {CCB7C434-6B59-46A5-B2EB-7A343558CA96} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {D290B9E9-4759-478B-80A5-7F22A1DC78D6} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku ShellIconOverlayIdentifiers-x32: [proDyskSynchronizationPending] -> {693019C1-AA17-44E9-A9AE-DD21AD66D2F5} => C:\Program Files (x86)\proDysk\\1.0.0.11132\IB24VirtualDrive.dll Brak pliku ShellIconOverlayIdentifiers-x32: [proDyskSynchronized] -> {693019C1-AA17-44E9-A9AE-DD21AD66D2F4} => C:\Program Files (x86)\proDysk\\1.0.0.11132\IB24VirtualDrive.dll Brak pliku GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA SearchScopes: HKU\S-1-5-21-41493053-3958052129-3170778977-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-41493053-3958052129-3170778977-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Extension: bestadblocker - C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\apw7mhqy.default\Extensions\5@WJXkC.com [2015-08-25] [Brak podpisu cyfrowego] FF Extension: CutTThEPoricce - C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\apw7mhqy.default\Extensions\D3Rs@bM0pPm8.org [2015-08-25] [Brak podpisu cyfrowego] FF Extension: CuutThePricE - C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\apw7mhqy.default\Extensions\hY2i8B@C.edu [2015-08-25] [Brak podpisu cyfrowego] FF Extension: CCuetTHePriCe - C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\apw7mhqy.default\Extensions\uU2eXcXz@HQ.org [2015-08-25] [Brak podpisu cyfrowego] C:\WINDOWS\SysWOW64\pl.html EmptyTemp: Plik zapisz pod nazwą [b]fixlist.txt[/b] i umieść obok FRST.exe Uruchom [b]FRST[/b] i kliknij przycisk [b]Fix[/b] (NAPRAW). .
dam1983 komentarz 10 stycznia 2016 Autor komentarz 10 stycznia 2016 Zrobiłem tak jak napisałeś, ale nie wiem dlaczego zadziałało tylko na przeglądarki Chrome, Firefox i IE, a na Edge przy pierwszym uruchomieniu znowu pojawiła się strona yoursites123, ale na szczęście już nie tak natrętna, bo po zmianie strony startowej uruchamia się już tylko ta moja (wcześniej nie dało się zmienić strony startowej). fixlist.txt zapisałem w folderze "Pobrane" bo tam mam FRST.exe. Chyba że powinienem to zapisać w folderze FRST, który utworzył się na dysku C (tam m.in. zapisują się logi)? Już po samym AdwCleaner (użyłem przed FRST) Chrom i Firefox się wyczyściły, a Edge nadal było zainfekowane. Załaczam fixlog z naprawy FRST [attachment=46683:Fixlog_10-01-2016_12-04-54.txt] Aha, także zauważyłem, że AdwCleaner wyszukał mi do usunięcia ponad 20 moich plików, ale na szczęście zorientowałem się i przed usunieciem odznaczyłem te które potrzebuję. Było ich więcej, a te które wymieniłeś nie są już potrzebne, więc nie odznaczałem ich.
Twój_Anioł_Stróż komentarz 10 stycznia 2016 komentarz 10 stycznia 2016 (edytowane) Z EDGE często jest problem w usunięciu tego "yoursites123". Uruchom FRST. W polu SEARCH (SZUKAJ) wklej: yoursites123 kliknij na przycisk "Search Registry" (Szukaj w Rejestrze). Raport z tego będzie tam, gdzie jest FRST. .
dam1983 komentarz 10 stycznia 2016 Autor komentarz 10 stycznia 2016 Raport Search poniżej [attachment=46688:Search.txt]
Twój_Anioł_Stróż komentarz 10 stycznia 2016 komentarz 10 stycznia 2016 Do Notatnika wklej: Windows Registry Editor Version 5.00 [-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000\SOFTWARE\Microsoft\Internet Explorer\DOMStorage\yoursites123.com] [-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com] [-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com] [-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com] [-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com] [-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com] [-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com] [-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com] [-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com] Z Menu Notatnika >> [b]Plik[/b] >> [b]Zapisz jako[/b] >> Ustaw rozszerzenie na [b]Wszystkie pliki[/b] >> [b]Zapisz jako[/b]> [b][color=red]FIX.REG [/color][/b]>> plik uruchom (dwuklik i OK). Zrestartuj komputer. .
dam1983 komentarz 10 stycznia 2016 Autor komentarz 10 stycznia 2016 Ok, chyba pomogło :) Po ponownym przeszukaniu rejestru już nie ma śladu po yoursites123. Dzięki wielkie! Czy konieczne są jeszcze jakieś kroki na koniec? np. odinstaluj AdwCleaner? Przy niektórych podobnych tematach jest jeszcze: ----------------------Jeśli będzie OK, to będziemy kończyć:Otwórz Notatnik i wklej w nim: Cytuj DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).przez SHIFT+DEL usuń pozostały folder C:\FRST.W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
dam1983 komentarz 10 stycznia 2016 Autor komentarz 10 stycznia 2016 Ok, to chyba wszystko. Jeszcze raz dzięki! :)
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.