Usuwanie yoursites 123

maciek98123 · 10 Grudnia 2015

Mam z tym problem jak wielu użytkownków.

Addition_10-12-2015_14-53-49.txt

FRST_10-12-2015_14-53-49.txt

picasso · 10 Grudnia 2015

Nazwy logów FRST.txt i Addition.txt wskazują, że je wyciągasz z folderu C:\FRST\Logs - to archiwum, bieżące logi są zawsze w folderze z którego uruchamiano FRST, w tym przypadku folder Pobrane. Prócz tytułowego hijackera, jest także inne adware oraz Google Chrome poszkodowane przez adware i przekonwertowane do wersji "developerskiej", co wymaga reinstalacji przeglądarki od zera.

Działania do przeprowadzenia:

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Badanie mające na celu poprawę produktów HP Deskjet 1510 series, eBay, Google Chrome. Nie instaluj na razie Google Chrome, bo jeszcze w punkcie 2 doczyszczanie po Chrome będzie.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R2 IhPul; C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer105.exe [236816 2015-10-09] (MustangService)
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: )
R2 WdMan; C:\ProgramData\4WdM4\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
ShortcutWithArgument: C:\Users\MARCIN SKŁODOWSKI\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT 
ShortcutWithArgument: C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT 
ShortcutWithArgument: C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT 
ShortcutWithArgument: C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT 
Edge HomeButtonPage: HKU\S-1-5-21-51331620-3515759238-2826849094-1002 -> hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447167186&z=95d60b284b7132439c37bf9gfz6zem9gbq0qeb7t3m&from=cornl&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1447168742&z=6e260c3fb8418b2041ab731gdzcz6mcg7q9b9m2z9o&from=cornl&uid=toshibaxmq01abf050_331ac41qtxx331ac41qt&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1447168742&z=6e260c3fb8418b2041ab731gdzcz6mcg7q9b9m2z9o&from=cornl&uid=toshibaxmq01abf050_331ac41qtxx331ac41qt&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1447168742&z=6e260c3fb8418b2041ab731gdzcz6mcg7q9b9m2z9o&from=cornl&uid=toshibaxmq01abf050_331ac41qtxx331ac41qt&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1447168742&z=6e260c3fb8418b2041ab731gdzcz6mcg7q9b9m2z9o&from=cornl&uid=toshibaxmq01abf050_331ac41qtxx331ac41qt&q={searchTerms}
HKU\S-1-5-21-51331620-3515759238-2826849094-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT&q={searchTerms}
HKU\S-1-5-21-51331620-3515759238-2826849094-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT
HKU\S-1-5-21-51331620-3515759238-2826849094-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT
HKU\S-1-5-21-51331620-3515759238-2826849094-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT&q={searchTerms}
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-51331620-3515759238-2826849094-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-51331620-3515759238-2826849094-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449663020&z=01ba6e2fed7d5edf472c1c0g1z8zbtaqdq6c8e2gcb&from=ient07021&uid=TOSHIBAXMQ01ABF050_331AC41QTXX331AC41QT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-51331620-3515759238-2826849094-1002 -> {AA086F7F-0C1F-4C0C-A0DD-666E2699B7AB} URL =
BHO-x32: Sale Charger -> {7a38e53c-e000-41e4-9b5a-47447db81c2b} -> C:\Program Files (x86)\Sale Charger\Extensions\7a38e53c-e000-41e4-9b5a-47447db81c2b.dll => Brak pliku
Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Mozilla\Firefox\Profiles\m3k48y98.default-1438962377295\extensions\deskCutv2@gmail.com => nie znaleziono
HKLM-x32\...\Run: [] => [X]
Task: {06460C36-78F7-4203-BF90-752E2B5B9E66} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {07010C70-E733-45D1-8217-A8590ADBBB14} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {0EAD9442-1CB8-4262-ABEE-9F430E8C86F0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {209E2DAD-429A-4667-BF2E-50662369479D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {29308793-1C22-4CEE-827C-DCBE9D898397} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {3A2F2041-F3E9-4FF3-9B8B-92E87FFCA741} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {3DB85EF5-8BD1-444D-8794-ACC472B743AD} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {53EFD19D-F766-4745-9C38-939B3C2C5CB6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {AC177144-D5CF-4AFE-8E85-287D89CDDDA9} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {B87ABDB6-30AC-45B5-B7CD-5954EB92ADBC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {E347B97D-922C-41E2-BB7D-3695B134CC32} - System32\Tasks\{AA31EE25-70CB-4804-9BAC-0CFE70DEC168} => pcalua.exe -a "C:\Program Files (x86)\Origin\Origin.exe" -d "C:\Program Files (x86)\Origin"
Task: {E9E5AFB9-1C01-458B-B64D-9E6FA2FBE62F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {F1F2F0CD-90CD-4964-92B6-0366CC65B76A} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe 
Task: {F2F84442-3A71-47A2-8AC9-5B36A70D2EF6} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe
Task: {F94BF661-AFA6-492B-BDE8-4C23936AB971} - System32\Tasks\{D3A14B99-5239-432E-B5F8-51CF61AE9FD4} => pcalua.exe -a "C:\Program Files (x86)\Origin\Origin.exe" -d "C:\Program Files (x86)\Origin"
Task: {FA3EA11D-09CF-49D6-BDE6-F6CD7B03E073} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo)
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
C:\Program Files (x86)\Google
C:\Program Files (x86)\Lenovo
C:\Program Files (x86)\RayDld
C:\Program Files (x86)\SFK
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\4WdM4
C:\ProgramData\DWdMD
C:\ProgramData\pWMiniProp
C:\ProgramData\TempMoudleSet
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk
C:\Users\MARCIN SKŁODOWSKI\AppData\Local\nsa2DD.tmp
C:\Users\MARCIN SKŁODOWSKI\AppData\Local\nsi7508.tmp
C:\Users\MARCIN SKŁODOWSKI\AppData\Local\Google
C:\Users\MARCIN SKŁODOWSKI\AppData\Local\Lenovo
C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\istartsurf
C:\Users\MARCIN SKŁODOWSKI\AppData\Roaming\TSv
C:\Users\MARCIN SKŁODOWSKI\Downloads\*-dp*.exe
C:\Users\MARCIN SKŁODOWSKI\Downloads\SpyHunter-Installer.exe
C:\Users\MARCIN SKŁODOWSKI\REACHit
C:\Windows\System32\Tasks\Lenovo
C:\WINDOWS\SysWOW64\data.bin
C:\WINDOWS\SysWOW64\pl.html
CMD: netsh advfirewall reset
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Uruchom Zoek. W oknie wklej:

Metric Collection SDK;u

Klik w Run Script. Powstanie plik zoek-results.log (ręcznie zmień mu nazwę z *.log na *.txt, by wszedł do załącznika).

4. Wyczyść Firefox z adware:

Odłącz synchronizację (o ile włączona): KLIK.
Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
Menu Historia > Wyczyść całą historię przeglądania.

5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i zoek-results.txt.

maciek98123 · 10 Grudnia 2015

"Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST."

Obok czyli gdzie, niestety nie rozumiem :/.

Już wiem.

picasso · 10 Grudnia 2015

Po prostu plik fixlist.txt ma być w tym samym folderze skąd uruchamiasz FRST. W tym przypadku w katalogu Pobrane.

maciek98123 · 10 Grudnia 2015

Proszę

Uzupełnione.

picasso · 10 Grudnia 2015

Brakuje głównego raportu FRST.txt. Uzupełnij.

picasso · 11 Grudnia 2015

Wprawdzie uzupełniłeś log FRST, ale przecież podany Fixlog nie pochodzi ode mnie! To jest jakiś kiepski skrypt na pół gwizdka zrobiony przez kogoś innego i ma się nijak do tego co ja zadałam. Nic nie zostało wykonane (poza Zoek) z tego co poleciłam. Powtarzaj zadania które podałam ja.

maciek98123 · 12 Grudnia 2015

Juz.

picasso · 12 Grudnia 2015

Tym razem wszystko wykonane poprawnie, infekcja usunięta. Teraz:

Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

maciek98123 · 12 Grudnia 2015

Już.

AdwCleanerS1.txt

picasso · 12 Grudnia 2015

Kolejne działania:

1. Uwaga na początek, powtarzasz te same błędy co poprzednio. Pojawił się poniższy plik. To śmieć "Asystent pobierania" dobrychprogramów, a nie poprawny instalator, i jedna z przyczyn wchodzenia hijackerów typu "yousites123". Więcej na ten temat: KLIK. Skasuj z Pobranych tego śmiecia.

2015-12-12 09:36 - 2015-12-12 09:36 - 00962128 _____ (Installer Soft Program ) C:\Users\MARCIN...\Downloads\CCleaner-13061-dp.exe

2. Uruchom ponownie AdwCleaner, tym razem dobierz akcje Skanuj + Usuń. Przedstaw wynikowy log.

3. W systemie jest jeszcze jedno nie sprawdzane dotąd konto fifa. Zaloguj się na nie i zrób nowy log FRST z opcji Skanuj (Scan) z Addition, Shortcut już zbędny.

maciek98123 · 12 Grudnia 2015

Proszę.

FRST.txt

Addition.txt

AdwCleanerC1.txt

picasso · 12 Grudnia 2015

Zapomniałeś podać log AdwCleaner z wynikami usuwania.

picasso · 17 Grudnia 2015

bolimnienoga

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Post wydzielony tu: KLIK. I proszę zrobić nowe logi FRST, bo dostarczone są niepoprawne.

maciek98123

Na koncie fifa jest zainfekowany odpadkowy profil Google Chrome zawierający adware Sale Charger. Poprawki:

1. Mam nadzieję, że Google Chrome nie zostało jeszcze ponownie zainstalowane. Ponownie uruchom Zoek i w oknie wklej:

Google Update Helper;u

Klik w Run Script. Powstanie plik zoek-results.log (ręcznie zmień mu nazwę z *.log na *.txt). Przedstaw go.

2. Otwórz Notatnik i wklej w nim:

RemoveDirectory: C:\AdwCleaner

RemoveDirectory: C:\FRST\Quarantine

RemoveDirectory: C:\Users\fifa\AppData\Local\Google

RemoveDirectory: C:\Users\Marcin\AppData\Local\Google

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

maciek98123 · 18 Grudnia 2015

Gotowe.

Fixlog.txt

zoek-results..txt

picasso · 18 Grudnia 2015

Wszystko zrobione.

1. Przełącz się na swoje konto Marcin, zainstaluj Google Chrome (o ile nadal z niego chcesz korzystasz) i zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. A jeśli Google Chrome ignorujesz, to krok zbędny i kończymy:

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

maciek98123 · 19 Grudnia 2015

Myślę, że nie będę używać już Google Chrome. Więc dziękuje za pomoc i przepraszam za lekkie problemy

Zaloguj się

Usuwanie yoursites 123

Rekomendowane odpowiedzi

maciek98123

Odnośnik do komentarza

picasso

Odnośnik do komentarza

maciek98123

Odnośnik do komentarza

picasso

Odnośnik do komentarza

maciek98123

Odnośnik do komentarza

picasso

Odnośnik do komentarza

picasso

Odnośnik do komentarza

maciek98123

Odnośnik do komentarza

picasso

Odnośnik do komentarza

maciek98123

Odnośnik do komentarza

picasso

Odnośnik do komentarza

maciek98123

Odnośnik do komentarza

picasso

Odnośnik do komentarza

picasso

Odnośnik do komentarza

maciek98123

Odnośnik do komentarza

picasso

Odnośnik do komentarza

maciek98123

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność