Przekierowania yoursites123 w Chrome i Edge

[josek78]

Witam, problem jak u większości z yoursites123. Zassało z rana, G Chrome po restarcie jest ok. tylko czy na pewno i na 100? Z IE już trudniej, nie jestem w stanie nic zrobić. bardzo proszę o pomoc, dołączam pliki.

Z góry dziękuję.

 

Przepraszam za dopis, gdzieś mi umknęła informacja .

Addition.txt

FRST.txt

Search.txt

[picasso]

Nie podałeś trzeciego obwiązkowego raportu FRST Shortcut. A problem jest szerszy niż tylko tytułowy hijacker (nawiasem mówiąc także w Edge siedzi), są tu też inne obiekty adware: polityki blokujące Google Chrome oraz adware Discovery App w Google Chrome. Prawdopodobnie są też zmodyfikowane globalne pliki DLL Google Chrome, w przeciwnym wypadku adware nie byłoby w stanie się zainstalować. Wymagana reinstalacja przeglądarki od zera.

 

Przeprowadź następujące działania:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Picexa. Operacje związane z Google Chrome:

• Upewnij się, że nie masz włączonej synchronizacji, opcja 2 do wykonania: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.

Na razie nie instaluj Google Chrome, dopóki nie wykonasz punktu 2 doczyszczającego elementy Google.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 IhPul; C:\Users\agula adomus\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: )
R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
ShortcutWithArgument: C:\Users\agula adomus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 
ShortcutWithArgument: C:\Users\agula adomus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 
Edge HomeButtonPage: HKU\S-1-5-21-782002170-3124842165-2239911744-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms}
HKU\S-1-5-21-782002170-3124842165-2239911744-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms}
SearchScopes: HKU\S-1-5-21-782002170-3124842165-2239911744-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms}
Task: {0D4269D0-5EA9-46BF-9038-3CC5C0A66D38} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {129659A1-4FF3-4CC4-992B-52CCE18C83A3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {2441C289-724D-4960-8503-5BD6A66747FB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {32B4A250-D80B-485A-B882-FCA436288D1E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {3B74E222-04CD-4A1D-A8B0-2E2E6D97E6E2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {4C1A5D36-58ED-4BB5-A627-50D4880CB25A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {5D4C6BC6-53AC-4290-A042-D7EAC83918E8} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {7C4C075B-C558-4905-B362-0290FD231A39} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {BD3D8F11-9CA0-47E1-8FE6-7F19AEAD7003} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {C0D77755-1861-4179-9EDA-3F6DD9ED328B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {E9AA64A5-45CB-4077-879C-82177133ED82} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f
Reg: reg delete HKCU\Software\Google\Chrome /f
Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f
Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f
Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f
Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\yoursites123Software /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
C:\Program Files\Google\Chrome
C:\Program Files\Picexa
C:\Program Files\SFK
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\8WdM8
C:\ProgramData\JWdMJ
C:\ProgramData\Temp
C:\Users\agula adomus\AppData\Local\Google\Chrome
C:\Users\agula adomus\AppData\Local\Mozilla
C:\Users\agula adomus\AppData\Roaming\Mozilla
C:\Users\agula adomus\AppData\Roaming\TSv
C:\WINDOWS\system32\data.bin
C:\WINDOWS\system32\pl.html
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zainstaluj najnowsze Google Chrome.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt.

[josek78]

chwilkę  to trwało ale miałem problem ze ściągnięciem i zainstalowaniem chrome (w ogóle nie wiem czemu, musiałem z innego kompa). Dołączam oczywiście pliki .Na przeglądarce IE dalej to wyskakuje . Dzięki za szybką reakcje .

Shortcut.txt

FRST.txt

Fixlog.txt

Addition.txt

[picasso]

miałem problem ze ściągnięciem i zainstalowaniem chrome (w ogóle nie wiem czemu, musiałem z innego kompa).

Być może problem tkwi w oprogramowaniu zabezpieczającym, czyli Avast SecureLine i/lub McAfee LiveSafe - Internet Security.

 

 

Na przeglądarce IE dalej to wyskakuje

W raportach nie ma już widocznej żadnej modyfikacji yoursites123 w konfiguracji Internet Explorer. A może chodzi Ci o Edge? Podczas jakiej czynności wyskakuje to przekierowanie? Pokaż zrzut ekranu.

 

 

Na razie drobne korekty:

 

1. Otwórz Notatnik i wklej:

 

DeleteKey: HKLM\SOFTWARE\MozillaPlugins
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files\Mozilla Firefox
RemoveDirectory: C:\Program Files\Opera
RemoveDirectory: C:\ProgramData\653ac11b-b606-42c5-b357-bca0fd28d1cd
RemoveDirectory: C:\ProgramData\8WMiniPro8
RemoveDirectory: C:\Users\agula adomus\AppData\Local\Opera Software
RemoveDirectory: C:\Users\agula adomus\AppData\Roaming\istartsurf
RemoveDirectory: C:\Users\agula adomus\AppData\Roaming\Opera Software
CMD: del /q "C:\Users\agula adomus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[josek78]

przepraszam ponownie, faktycznie to edge , nigdy z tego nie korzystałem dopiero dziś jak nie miałem innej przeglądarki a ikona podobna

 

zaraz dokończę resztę i podeślę info, wyskakuje zaraz po uruchomieniu

AdwCleanerS1.txt

Fixlog.txt

[picasso]

Tak sądziłam, że chodzi Ci o Edge, to nie jest nowa wersja Internet Explorer, tylko całkowicie odrębna przeglądarka. Później sobie możesz poczytać o budowie przeglądarki: KLIK.

 

Pierwsze podejście z czyszczeniem Edge + doczyszczenie szczątków wykrytych przez AdwCleaner:

 

1. Zamknij Edge. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\distromatic
DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8}
DeleteKey: HKLM\SOFTWARE\DiscoveryApp
DeleteKey: HKLM\SOFTWARE\FFPluginHp
DeleteKey: HKLM\SOFTWARE\hdcode
DeleteKey: HKLM\SOFTWARE\istartsurfSoftware
DeleteKey: HKLM\SOFTWARE\TSv
DeleteKey: HKLM\SOFTWARE\WdsManPro
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro
Reg: reg query "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy"
Reg: reg query "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch"
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Uruchom przeglądarkę Edge i podaj co widzisz.

[josek78]

po odpaleniu strona przeglądarki z wiadomościami wydaje się, że jest ok nie włącza się dziadostwo .  chyba jest dobrze czyli usunięte, jeśli tak to dzięki bardzo bardzo i wiadomo podtrzymanie serferka 

Fixlog.txt

[picasso]

Wszystko zrobione. Kończymy:

 

1. Zastosuj DelFix do usunięcia używanych narzędzi: KLIK.

 

2. I poczytaj o tym skąd te świństwa wchodzą: KLIK.

[josek78]

dziękuje bardzo, przekaże informacje o forum innym potrzebującym i zasilę na pewno, pozdrawiam 

DelFix.txt

[picasso]

DelFix zrobił co należy. Skasuj z dysku plik C:\delfix.txt.

 

Temat rozwiązany. Zamykam. I więlkie dzięki za ewentualną dotację.