josek78 Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Witam, problem jak u większości z yoursites123. Zassało z rana, G Chrome po restarcie jest ok. tylko czy na pewno i na 100? Z IE już trudniej, nie jestem w stanie nic zrobić. bardzo proszę o pomoc, dołączam pliki. Z góry dziękuję. Przepraszam za dopis, gdzieś mi umknęła informacja . Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Search.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Nie podałeś trzeciego obwiązkowego raportu FRST Shortcut. A problem jest szerszy niż tylko tytułowy hijacker (nawiasem mówiąc także w Edge siedzi), są tu też inne obiekty adware: polityki blokujące Google Chrome oraz adware Discovery App w Google Chrome. Prawdopodobnie są też zmodyfikowane globalne pliki DLL Google Chrome, w przeciwnym wypadku adware nie byłoby w stanie się zainstalować. Wymagana reinstalacja przeglądarki od zera. Przeprowadź następujące działania: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Picexa. Operacje związane z Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, opcja 2 do wykonania: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj Google Chrome, dopóki nie wykonasz punktu 2 doczyszczającego elementy Google. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\agula adomus\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\agula adomus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 ShortcutWithArgument: C:\Users\agula adomus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 Edge HomeButtonPage: HKU\S-1-5-21-782002170-3124842165-2239911744-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} HKU\S-1-5-21-782002170-3124842165-2239911744-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} SearchScopes: HKU\S-1-5-21-782002170-3124842165-2239911744-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449740318&z=8b3258ebfef3107cc47c4e9g3z7z5t1mbzde2cdg4e&from=ient07021&uid=3219913727_198264_3036AA06&q={searchTerms} Task: {0D4269D0-5EA9-46BF-9038-3CC5C0A66D38} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {129659A1-4FF3-4CC4-992B-52CCE18C83A3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {2441C289-724D-4960-8503-5BD6A66747FB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {32B4A250-D80B-485A-B882-FCA436288D1E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {3B74E222-04CD-4A1D-A8B0-2E2E6D97E6E2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {4C1A5D36-58ED-4BB5-A627-50D4880CB25A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {5D4C6BC6-53AC-4290-A042-D7EAC83918E8} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {7C4C075B-C558-4905-B362-0290FD231A39} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BD3D8F11-9CA0-47E1-8FE6-7F19AEAD7003} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {C0D77755-1861-4179-9EDA-3F6DD9ED328B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E9AA64A5-45CB-4077-879C-82177133ED82} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\yoursites123Software /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f C:\Program Files\Google\Chrome C:\Program Files\Picexa C:\Program Files\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\8WdM8 C:\ProgramData\JWdMJ C:\ProgramData\Temp C:\Users\agula adomus\AppData\Local\Google\Chrome C:\Users\agula adomus\AppData\Local\Mozilla C:\Users\agula adomus\AppData\Roaming\Mozilla C:\Users\agula adomus\AppData\Roaming\TSv C:\WINDOWS\system32\data.bin C:\WINDOWS\system32\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowsze Google Chrome. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
josek78 Opublikowano 10 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 chwilkę to trwało ale miałem problem ze ściągnięciem i zainstalowaniem chrome (w ogóle nie wiem czemu, musiałem z innego kompa). Dołączam oczywiście pliki .Na przeglądarce IE dalej to wyskakuje . Dzięki za szybką reakcje . Shortcut.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... Addition.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Cytat miałem problem ze ściągnięciem i zainstalowaniem chrome (w ogóle nie wiem czemu, musiałem z innego kompa). Być może problem tkwi w oprogramowaniu zabezpieczającym, czyli Avast SecureLine i/lub McAfee LiveSafe - Internet Security. Cytat Na przeglądarce IE dalej to wyskakuje W raportach nie ma już widocznej żadnej modyfikacji yoursites123 w konfiguracji Internet Explorer. A może chodzi Ci o Edge? Podczas jakiej czynności wyskakuje to przekierowanie? Pokaż zrzut ekranu. Na razie drobne korekty: 1. Otwórz Notatnik i wklej: DeleteKey: HKLM\SOFTWARE\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Mozilla Firefox RemoveDirectory: C:\Program Files\Opera RemoveDirectory: C:\ProgramData\653ac11b-b606-42c5-b357-bca0fd28d1cd RemoveDirectory: C:\ProgramData\8WMiniPro8 RemoveDirectory: C:\Users\agula adomus\AppData\Local\Opera Software RemoveDirectory: C:\Users\agula adomus\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\agula adomus\AppData\Roaming\Opera Software CMD: del /q "C:\Users\agula adomus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
josek78 Opublikowano 10 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 przepraszam ponownie, faktycznie to edge , nigdy z tego nie korzystałem dopiero dziś jak nie miałem innej przeglądarki a ikona podobna zaraz dokończę resztę i podeślę info, wyskakuje zaraz po uruchomieniu AdwCleanerS1.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Tak sądziłam, że chodzi Ci o Edge, to nie jest nowa wersja Internet Explorer, tylko całkowicie odrębna przeglądarka. Później sobie możesz poczytać o budowie przeglądarki: KLIK. Pierwsze podejście z czyszczeniem Edge + doczyszczenie szczątków wykrytych przez AdwCleaner: 1. Zamknij Edge. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\distromatic DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\DiscoveryApp DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\hdcode DeleteKey: HKLM\SOFTWARE\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\TSv DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro Reg: reg query "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" Reg: reg query "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom przeglądarkę Edge i podaj co widzisz. Odnośnik do komentarza
josek78 Opublikowano 10 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 po odpaleniu strona przeglądarki z wiadomościami wydaje się, że jest ok nie włącza się dziadostwo . chyba jest dobrze czyli usunięte, jeśli tak to dzięki bardzo bardzo i wiadomo podtrzymanie serferka Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Wszystko zrobione. Kończymy: 1. Zastosuj DelFix do usunięcia używanych narzędzi: KLIK. 2. I poczytaj o tym skąd te świństwa wchodzą: KLIK. Odnośnik do komentarza
josek78 Opublikowano 10 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 dziękuje bardzo, przekaże informacje o forum innym potrzebującym i zasilę na pewno, pozdrawiam DelFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 DelFix zrobił co należy. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam. I więlkie dzięki za ewentualną dotację. Odnośnik do komentarza
Rekomendowane odpowiedzi