Kolejny problem z yoursites123

carlos58 · 9 Grudnia 2015

Witam.

Tak jak poprzedni użytkownicy mam problem ze stroną yoursites123.

Proszę o pomoc.

Pozdrawiam

Addition.txt

FRST.txt

Shortcut.txt

picasso · 9 Grudnia 2015

Widać, że conamniej jeden raz pobierałeś coś z dobrychprogramów, więc przypuszczalnie adware wprowadził "Asystent pobierania" tegoż portalu: KLIK. Wykonaj następujące działania:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R2 WdMan; C:\ProgramData\2WdM2\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 
ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 
ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 
ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 
ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 
ShortcutWithArgument: C:\Users\Franciszek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files\Opera x64\opera.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951 
StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe hxxp://www.yoursites123.com/?type=sc&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951&q={searchTerms}
HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951&q={searchTerms}
HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951
HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951
HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951&q={searchTerms}
CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951
CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449661832&z=5212dc954539de1aaece063g6zezet9q4qagdbdg6t&from=ient07021&uid=SAMSUNGXSSDX830XSeries_S0Z3NEAC875951"
FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt
Task: {12D9F354-35AA-427E-820C-A22E62FE12B4} - System32\Tasks\{EAA4EF60-AFB2-4196-9323-159EBD537A9C} => pcalua.exe -a G:\Setup.exe -d G:\
Task: {48E333C3-1F80-48B8-B720-2367A1C97CCC} - System32\Tasks\{CD7F73B2-FEBE-4F61-A79F-7EE4ED111CC4} => Firefox.exe hxxp://ui.skype.com/ui/0/6.0.0.126.259/pl/go/help.faq.installer?LastError=1618
Task: {9E30BCEB-5EBC-4164-ABD5-FC76031CE1D5} - System32\Tasks\{773502F5-1059-4B0D-BFF8-211E95E7D3C2} => pcalua.exe -a "C:\Users\Franciszek\Desktop\Pobrane\Nowy folder (3)\Driver\DriverUninstall.exe" -d "C:\Users\Franciszek\Desktop\Pobrane\Nowy folder (3)\Driver"
Task: {BB24DAC6-4E23-430C-B068-0479C66DC91C} - System32\Tasks\{44C9A943-829E-4E19-8CBC-0AD0FC27FADF} => Firefox.exe hxxp://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?source=lightinstaller&page=tsMain
HKLM-x32\...\Run: [bEWINTERNET-PL-IEWSessionManager] => "C:\Program Files (x86)\OrangeBS\BEWInternet-PL-IEW\SessionManager\SessionManager.exe"
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKU\S-1-5-19\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid}
HKU\S-1-5-20\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid}
HKU\S-1-5-18\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid}
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\...\Run: [KiesAirMessage] => C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup
HKU\S-1-5-21-3644742391-2186993713-3904842162-1001\...\Run: [AirDroid 3] => C:\Program Files (x86)\AirDroid\AirDroid.exe /start
U0 ledhxv; C:\Windows\System32\drivers\kvxnql.sys [79064 2015-12-09] (Malwarebytes)
S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X]
S3 clwvd6; \SystemRoot\system32\DRIVERS\clwvd6.sys [X]
S3 CV2K1; \SystemRoot\system32\DRIVERS\cv2k1.sys [X]
S3 ewusbmbb; \SystemRoot\system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X]
S3 pccsmcfd; \SystemRoot\system32\DRIVERS\pccsmcfdx64.sys [X]
C:\Program Files (x86)\mozilla firefox\plugins
C:\ProgramData\2WdM2
C:\ProgramData\nWdMn
C:\ProgramData\Microsoft\Windows\Start Menu.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk
C:\Spacekace
C:\Users\Franciszek\AppData\Local\SelfExtractible.zip
C:\Users\Franciszek\AppData\Local\Google\Chrome\User Data\Default\Web Data
C:\Users\Franciszek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Freezip.lnk
C:\Users\Public\Desktop\FileViewPro.lnk
C:\Users\Franciszek\Desktop\Ikony\Adobe Reader XI.lnk
C:\Users\Franciszek\Desktop\Ikony\ImgBurn.lnk
C:\Windows\system32\Drivers\kvxnql.sys
Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f
Reg: reg delete HKCU\Software\dobreprogramy /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Creative Cloud" /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh advfirewall reset
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść przeglądarki z adware:

Firefox:

Odłącz synchronizację (o ile włączona): KLIK.
Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.
Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

Zresetuj synchronizację (o ile włączona): KLIK.
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (ręcznie włącz ponownie).

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Kolejny problem z yoursites123

Rekomendowane odpowiedzi

carlos58

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność