Usunięcie yoursites123

justynab67890 · 9 Grudnia 2015

Jak wielu mam problem z usunieciem przegladarki yoursites, czy moglabym prosic o pomoc? Czytalam wiele poradnikow, ale nic z nich nie rozuiem bo jestem "prostym" czlowiekiem i niestety nie za bardzo znam sie na komputerach.

dolaczam logi:

Shortcut.txt

FRST.txt

Addition.txt

picasso · 9 Grudnia 2015

Posty połączyłam do oczekiwanej na starcie formy. Oczywiście odpowiadasz mi już w nowych postach, nie edytuj pierwszego.

Operacje do przeprowadzenia:

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Amazon 1Button App.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R2 IhPul; C:\Users\Slawomir\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: )
R2 WdMan; C:\ProgramData\tWdMt\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
ShortcutWithArgument: C:\Users\Slawomir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 
ShortcutWithArgument: C:\Users\Slawomir\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms}
HKU\S-1-5-21-3747367151-4080275244-1175166767-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9
HKU\S-1-5-21-3747367151-4080275244-1175166767-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3747367151-4080275244-1175166767-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3747367151-4080275244-1175166767-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3747367151-4080275244-1175166767-1001 -> {E8DC851D-7E83-48B0-93E7-5F9290CC82B5} URL =
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449648227&z=af18cc88cb265af796564d7gez5z2t5qbz4b3o1gfb&from=ient07021&uid=ST500LT012-1DG142_W3PEN0N9XXXXW3PEN0N9
CHR HomePage: Default -> gazeta.allplayer.org/
CHR HKU\S-1-5-21-3747367151-4080275244-1175166767-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx 
CHR HKLM-x32\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx 
HKLM\...\Run: [WavesSvc] => "C:\Program Files\Realtek\Audio\HDA\WavesSvc64.exe"
Task: {17107572-2329-4D6C-A423-1F0C7F4D8651} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {23B03DE9-680A-4EAE-A236-0FB22450AFBE} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {27513359-B4F8-4893-BD58-BD791970C28D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {2BDF76F6-4028-4838-8B41-29827793E26B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {3166B31A-2F69-48A1-AB59-9CE86CAF4C9F} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {4667AD38-9430-4B2A-995F-472D190642F5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {9F3D9ABF-F132-4318-BE37-06F5CD1FF18C} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe
Task: {B150F8DE-12B7-4938-9C4C-9C46F561DBBF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {CE74D58A-A2E2-4B5F-880D-89C8A8C0D5CF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {D3E22CBA-38A4-4030-B39D-8CAC75434F90} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {DCB07C8E-3643-44D5-9706-FB1B67ACCF8B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {DE83BA88-6CE7-4028-9278-44427DD98DCD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\SFK
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\{AA6BF06E-316C-487A-9BC2-5F06A43C56B1}
C:\ProgramData\gWMiniProg
C:\ProgramData\lWdMl
C:\ProgramData\tWdMt
C:\Users\Slawomir\AppData\Roaming\eCyber
C:\Users\Slawomir\AppData\Roaming\istartsurf
C:\Users\Slawomir\AppData\Roaming\TSv
C:\Users\Slawomir\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk
C:\WINDOWS\SysWOW64\data.bin
C:\WINDOWS\SysWOW64\pl.html
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: type "C:\Windows\System32\Tasks\McAfee\McAfee Idle Detection Task"
CMD: type "C:\Windows\System32\Tasks\McAfee\McAfee Auto Maintenance Task Agent"
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

justynab67890 · 9 Grudnia 2015

Juz

Fixlog.txt

Addition.txt

FRST.txt

picasso · 9 Grudnia 2015

Infekcja pomyślnie usunięta. Teraz drobne poprawki:

1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres gazeta.allplayer.org. To sponsorowana strona.

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

justynab67890 · 10 Grudnia 2015

Wszystko zrobione Bardzo dziekuje z pomoc i posiwecony czas

Nie doczytalam do konca, zaraz dostarcze log. I jest

AdwCleanerS1.txt

picasso · 10 Grudnia 2015

Poprawki. Otwórz Notatnik i wklej w nim:

DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode
DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware
DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv
DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\zoek_backup
CMd: del /q C:\Users\Slawomir\Downloads\fo0wh4cc.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Usunięcie yoursites123

Rekomendowane odpowiedzi

justynab67890

Odnośnik do komentarza

picasso

Odnośnik do komentarza

justynab67890

Odnośnik do komentarza

picasso

Odnośnik do komentarza

justynab67890

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność