Jack1 Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Witam. U mnie również pojawił się yoursites 123. Czy mogę liczyć na pomoc? Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Używałeś wątpliwego skanera STOPzilla!. Do przeprowadzenia następujące operacje: 1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 10 ActiveX, Adobe Flash Player 19 NPAPI, Adobe Reader 9.1 - Polish, Bing Bar, Java 6 Update 16 oraz całą grupę F-Secure Client Security. Antywirus okropnie stary (datowanie określonych komponentów na rok 2010), potem uzupełnisz wybranym najnowszym. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Jacek\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 WdMan; C:\ProgramData\HWdMH\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S4 ApRunSvc; C:\Program Files\Apoint2K\ApRunSvc.exe [X] ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Programy\Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130941638600239736&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX&q={searchTerms} HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://www.lenovo.com/welcome/thinkpad HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130941638601331738&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX HKU\S-1-5-21-2299845786-1738946570-1275540735-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX&q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2299845786-1738946570-1275540735-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647550&z=27233f49ccaf06de1dc0ae3gfz6z7t8qdzfmcw4z9b&from=ient07021&uid=HITACHIXHTS545032B9A300_091212PBN3041TG590MRX&q={searchTerms} Toolbar: HKU\S-1-5-21-2299845786-1738946570-1275540735-1003 -> Brak nazwy - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Brak pliku DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab FF HKLM\...\Firefox\Extensions: [litmus-ff@f-secure.com] - C:\Program Files\F-Secure\NRS\litmus-ff@f-secure.com FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\u8kotcia.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\u8kotcia.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\u8kotcia.default\extensions\default_newtabff@gmail.com FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\u8kotcia.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Programy\Firefox\firefox.exe HKLM\...\Run: [] => [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\yoursites123Software C:\Program Files\iS3 C:\Program Files\Common Files\653ac11b-b606-42c5-b357-bca0fd28d1cd C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\653ac11b-b606-42c5-b357-bca0fd28d1cd C:\ProgramData\4WMiniPro4 C:\ProgramData\BWdMB C:\ProgramData\HWdMH C:\ProgramData\STOPzilla! C:\Users\Jacek\AppData\Roaming\TSv C:\Windows\system32\pl.html C:\Users\Jacek\Downloads\STOPzillaPRO_Downloader.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używany bloker reklam trzeba będzie przeinstalować (Adblock Plus lub uBlock Origin, dwa na raz to za dużo). Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Jack1 Opublikowano 10 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Wykonane Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Kolejne poprawki: 1. Nie zostały odinstalowane dwie pozycje: F-Secure Client Security, Java 6 Update 16. Czy jest jakiś problem z deinstalacją, pokazuje się jakiś błąd? W przypadku problemów uruchom Zoek i w oknie wklej: F-Secure Client Security;u Java 6 Update 16;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). 2. Otwórz Notatnik i wklej w nim: Task: {8A20BDBA-6D36-47AD-A57B-559C1F071667} - System32\Tasks\{00313BA0-A4E9-49BB-8C9B-778A52B84981} => pcalua.exe -a "C:\Program Files\F-Secure\Uninstall\fsuninst.exe" -c /UninstRegKey:"F-Secure Anti-Virus" BHO: Browsing Protection Class -> {C6867EB7-8350-4856-877F-93CF8AE3DC9C} -> C:\Program Files\F-Secure\NRS\iescript\baselitmus.dll => Brak pliku Toolbar: HKLM - Browsing Protection Toolbar - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - C:\Program Files\F-Secure\NRS\iescript\baselitmus.dll Brak pliku CMD: netsh advfirewall reset Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{F4B9AB2B-ED96-4444-B391-1E0DA906E0FB}" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\F-Secure RemoveDirectory: C:\ProgramData\fssg RemoveDirectory: C:\Users\Jacek\AppData\Local\Adobe RemoveDirectory: C:\Users\Jacek\Desktop\Stare dane programu Firefox CMD: del /q C:\Windows\system32\Drivers\fsbts.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
Jack1 Opublikowano 10 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Zrobione. zoek-results.txt AdwCleanerS1.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Zadania wkonane, za wyjątkiem ostatniej komendy FRST, przy przeklejaniu zjadło Ci literkę sys. Ostatnie poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\AppID\{85198F55-85AC-498A-BFE4-BBC33840F4AB} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\hdcode DeleteKey: HKLM\SOFTWARE\ihpmserver DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\sweet-pageSoftware DeleteKey: HKLM\SOFTWARE\mystartsearchSoftware DeleteKey: HKLM\SOFTWARE\RayDld DeleteKey: HKLM\SOFTWARE\TSv DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\zoek_backup CMD: del /q C:\Windows\system32\Drivers\fsbts.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Jack1 Opublikowano 11 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Zrobione. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2015 Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Wszystko pomyślnie wykonane. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. W powyższym linku jest też spis aplikacji i ich najnowszych wersji. Uzupełnij co potrzebujesz. 3. Zainstaluj nowoczesnego antywirusa. Przykładowe dobre darmowe propozycje: Avast, Panda Free Antivirus. 4. I poczytaj o tym w jaki sposów tego typu śmieci adware dostają się do systemu: KLIK. Odnośnik do komentarza
Jack1 Opublikowano 11 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Dziękuję. Odnośnik do komentarza
Rekomendowane odpowiedzi