pardo94 Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Przy włączaniu przegladarki przekierowuje mnie na "yoursites123", jak to usunąć? FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Hijacker wślizgnął się przypuszczalnie z jakiegoś "Asystenta pobierania": KLIK. Był tu niepotrzebne stosowany ComboFix, na ten temat: KLIK. Obecnie to nawet nie jest dobry program do czyszczenia adware, są inne bardziej specjalizowane. Przeprowadź następujące działania: 1. Odinstaluj wątpliwy skaner SpyHunter 4. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 ShortcutWithArgument: C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 ShortcutWithArgument: C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 ShortcutWithArgument: C:\Users\Public\Desktop\FIFA 15.lnk -> E:\Program Files (x86)\FIFA 15\FIFA 15\Launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} SearchScopes: HKU\S-1-5-21-4265689537-3529688487-1946468061-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4265689537-3529688487-1946468061-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449660685&z=0e7c6e7dcacd502db5a0f58g1z4z6t4qeq1eaqcbfz&from=ient07021&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4J6P9NAK99NAK9&q={searchTerms} HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4265689537-3529688487-1946468061-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia Task: {3E2EC08B-73CA-46FB-874A-271FABADA93E} - \Steam_x64-S-2-106-91 -> Brak pliku Task: {9E8E992F-D811-4698-AF9F-5C93310C695C} - System32\Tasks\{6B8F8BFA-4EC5-41E3-868D-B7ED528CB070} => pcalua.exe -a C:\Users\7\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll [brak pliku] U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] U4 CmdAgent; Brak ImagePath S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files\ACD Systems C:\Program Files (x86)\Google C:\Program Files (x86)\Opera C:\ProgramData\Avg C:\ProgramData\FWdMF C:\ProgramData\lWdMl C:\ProgramData\MFAData C:\Users\7\AppData\Local\ACD Systems C:\Users\7\AppData\Local\Avg C:\Users\7\AppData\Local\AvgSetupLog C:\Users\7\AppData\Local\Google C:\Users\7\AppData\Local\MFAData C:\Users\7\AppData\Roaming\AVG C:\Users\7\AppData\Roaming\Enigma Software Group C:\Users\7\AppData\Roaming\TuneUp Software C:\Users\7\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\7\Downloads\SpyHunter-Installer.exe C:\Windows\pss\Download.lnk.Startup C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\SysWOW64\pl.html Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^7^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Download.lnk" / Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VCVS01EN" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f DisableService: PLAY ONLINE. RunOuc CMD: net user ASPNET /delete CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
pardo94 Opublikowano 9 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Pomoglo Dzieki wielkie ^^ Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 (edytowane) Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi