joe Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Witam, Podobnie jak wielu innym pojawiło mi się przekierowanie strony startowej w przeglądarkach do yoursites123 i zainstalował się programik picexa. Proszę o pomoc, z góry wielkie dzięki. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Wyląda na to, że te wszystkie śmieci zostały nabyte z "Asystenta pobierania" dobrychprogramów, gdyż na dysku są charakterystyczne zestawy: KLIK. Operacje do wykonania: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj istartsurf uninstall, Picexa. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK (odpadek po niechcianym REACHit Lenovo) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\9WdM9\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447697120&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} HKU\S-1-5-21-3630990288-2120868229-998028013-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3630990288-2120868229-998028013-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW HKU\S-1-5-21-3630990288-2120868229-998028013-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm HKU\S-1-5-21-3630990288-2120868229-998028013-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} SearchScopes: HKU\S-1-5-21-3630990288-2120868229-998028013-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} SearchScopes: HKU\S-1-5-21-3630990288-2120868229-998028013-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} Toolbar: HKU\S-1-5-21-3630990288-2120868229-998028013-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-08-12] Task: {1FF32306-2FCD-404B-9964-299C66FB2464} - System32\Tasks\{26F5027A-8277-4A2F-B749-8013233453E2} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.0.0.102/pl/abandoninstall?page=tsMain Task: {B84E99A2-62EA-4EB9-B28A-F14544D8EF77} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo C:\Program Files\Lenovo C:\Program Files\Opera C:\Program Files\Picexa C:\Program Files\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\4WdM4 C:\ProgramData\6WMiniPro6 C:\ProgramData\9WdM9 C:\Users\Joe\AppData\Local\Lenovo C:\Users\Joe\AppData\Local\Opera Software C:\Users\Joe\AppData\Roaming\istartsurf C:\Users\Joe\AppData\Roaming\OpenCandy C:\Users\Joe\AppData\Roaming\Opera Software C:\Users\Joe\AppData\Roaming\TSv C:\Users\Joe\REACHit C:\Windows\System32\Tasks\Lenovo Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
joe Opublikowano 10 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Naprawdę wielkie dzięki za pomoc! Pliki w załączeniu. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Wymagane poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Picexa DeleteKey: HKLM\SOFTWARE\yoursites123Software S2 IhPul; C:\Users\Joe\AppData\Roaming\TSv\TSvr.exe [X] S2 PicexaService; C:\Program Files\Picexa\PicexaSvc.exe [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\Users\Joe\AppData\Roaming\Picexa Viewer CMD: del /q "C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk" CMD: del /q C:\Users\Public\Desktop\Picexa.lnk CMd: del /q C:\WINDOWS\system32\pl.html Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
joe Opublikowano 10 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Dziękuję za dalsze wskazówki! AdwCleanerC1.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Miałeś wykonać tylko skanowanie AdwCleaner i nic za jego pomocą nie usuwać. AdwCleaner może mieć fałszywe alarmy i wyniki należy sprawdzić przed usuwaniem. Pośpieszyłeś się. Kończymy: Usuń z F:\Pobrane ściągnięty AdwCleaner i inne narzędzia. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
joe Opublikowano 11 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Bardzo dziękuję za pomoc! Trudno uwierzyć, że tacy wspaniali ludzie jak Ty istnieją. Nie pozostaje nic innego jak wesprzeć stronkę małą dotacją... Pozdrawiam, J Odnośnik do komentarza
Rekomendowane odpowiedzi