Yoursites123 po raz kolejny

[kerix]

Witam,

mam problem z yoursites123.com. Próbowałem już na rózne sposoby min. SpyHunterem itp go wywalic jednak w dalszym ciągu w Operze mi siedzi. Proszę o pomoc

Addition.txt

FRST.txt

[picasso]

Brakuje pliku FRST Shortcut. Uzupełnij.

[kerix]

że tak może głupio zapytam ale ja prosty człek jestem i nie wiem skąd wziąć FRST Shortcut

[picasso]

Chyba nie przeczytałeś zasad działu kierujących do opisu tworzenia raportu FRST, w przeciwnym wypadku byś o to nie pytał... Instrukcja tworzenia raportów: KLIK.

[kerix]

Już znalażłem przeskanowałem ponownie więc wklejam ponownie komplet plików

 

Przepraszam za zamieszanie jakie robię ale teraz już chyba poprawnie wszystko dodałem. Proszę o pomoc bo nie wiem już co robić

 

Gdyby ktoś był wstanie mi pomóc w miarę szybko byłbym dozgonnie wdzięczny

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

W zasadach działu m.in. jest wyszczególnione, by nie podbijać tematu postami "pośpieszającymi", bo to nie przyśpieszy odpowiedzi. Jestem jedyną osobą udzielającą pomocy w tym dziale. Rozejrzyj się ile jest tematów do zrobienia, a analiza wymaga precyzji (czyli gdzieś około 20 minut na osobę na jeden post!).

 

Był tu używany wątpliwy skaner z czarnej listy - SpyHunter, z daleka od niego. Operacje do przeprowadzenia:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Java 7 Update 25, OpenOffice.org 2.4.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S4 WdMan; C:\ProgramData\eWdMe\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
ShortcutWithArgument: C:\Users\Dżoana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 
ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms}
HKU\S-1-5-21-244760883-3783918540-4036241172-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms}
BootExecute: autocheck autochk * sh4native Sh4Removal
Task: {F0FDF603-356D-4708-8F13-842E0A16281F} - System32\Tasks\SpyHunter4Startup => F:\SpyHunter 4.20.9.4533 Eng 32 Bit Portable\SpyHunter 4.20.9.4533 Eng 32 Bit Portable\SpyHunter4.exe
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
C:\spyhunter.fix
C:\ProgramData\eWdMe
C:\ProgramData\SWdMS
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ff42i15r14e33f26o83x.lnk
C:\Users\Dżoana\x.exe
C:\WINDOWS\SysWOW64\data.bin
C:\WINDOWS\SysWOW64\pl.html
C:\WINDOWS\SysWOW64\sh4native.exe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Poza tym, uruchom przeglądarkę Edge i potwierdź, że w niej nie występują te przekierowania.

[kerix]

Wygląda na to że wszystko działa. Dziękuję

Fixlog.txt

Addition.txt

FRST.txt

[picasso]

Czyli również w przeglądarce Edge nie ma problemu? Kolejne poprawki:

 

1. W Firefox nadal jest hijacker. Nie została wykonana ta akcja:

 

Wyczyść Firefox z adware:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

Wykonaj.

 

2. Następnie drobne poprawki. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
RemoveDirectory: C:\Adwcleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 2.4
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 2.4
RemoveDirectory: C:\Users\Dżoana\AppData\Roaming\OpenOffice.org2
RemoveDirectory: C:\Users\Dżoana\Desktop\SpyHunter 4.20.9.4533 Eng 32 Bit Portable

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso