Pomoc z yoursites123

[losiu118]

Witam bardzo serdecznie!

Jak większość proszę o pomoc w usunięciu tego syfu

Pliki w załączniku

Shortcut.txt

FRST.txt

Addition.txt

[picasso]

Operacje do przeprowadzenia:

 

1. Odinstaluj stare wersje Adobe Flash Player ActiveX, Java 8 Update 60.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 WdMan; C:\ProgramData\3WdM3\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
S3 WinRing0_1_2_0; \??\D:\Program Files\IObit\Game Booster 3\Driver\WinRing0x64.sys [X]
HKU\S-1-5-21-1993643628-1500383753-3481848954-1000\...\Run: [bingSvc] => C:\Users\Admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation)
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD 
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD 
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD 
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449728436&z=98bcfd28c6268ef0df98395gezez9t9m3o8bezdocm&from=ient07021&uid=395049983_1052483_DC1F93FD&q={searchTerms}
FF HKLM-x32\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\kkjin8gu.default-1431425513148\extensions\sidebarff@gmail.com => nie znaleziono
Task: {5B4DB020-4B43-467F-B9FF-6179AC13F1BA} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe
Task: {923A6ED5-9C7A-494D-9C17-4096DB4D4350} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe
Task: {B6305A56-AFA3-4D58-9AC4-FADC8CAF1747} - System32\Tasks\Game_Booster_AutoUpdate => D:\Program Files\IObit\Game Booster 3\AutoUpdate.exe
C:\Program Files (x86)\mozilla firefox\plugins
C:\ProgramData\3WdM3
C:\ProgramData\FWdMF
C:\ProgramData\iWdMi
C:\Users\Admin\AppData\Local\Google
C:\Users\Admin\AppData\Local\Microsoft\BingSvc
C:\Windows\SysWOW64\pl.html
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\yoursites123Software /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

[losiu118]

Chyba pomogło

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Wszystko zrobione. Kończymy:

 

1. Uruchom narzędzie Fix-it usuwające drobny błąd WMI: KLIK.

 

2. Skasuj pobrany FRST i jego logi z folderu C:\Users\Admin\Desktop\Nowy folder. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.