Skocz do zawartości

Yoursites123 po raz kolejny


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W zasadach działu m.in. jest wyszczególnione, by nie podbijać tematu postami "pośpieszającymi", bo to nie przyśpieszy odpowiedzi. Jestem jedyną osobą udzielającą pomocy w tym dziale. Rozejrzyj się ile jest tematów do zrobienia, a analiza wymaga precyzji (czyli gdzieś około 20 minut na osobę na jeden post!).

 

Był tu używany wątpliwy skaner z czarnej listy - SpyHunter, z daleka od niego. Operacje do przeprowadzenia:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Java 7 Update 25, OpenOffice.org 2.4.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S4 WdMan; C:\ProgramData\eWdMe\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
ShortcutWithArgument: C:\Users\Dżoana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 
ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms}
HKU\S-1-5-21-244760883-3783918540-4036241172-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449645150&z=00842112d503b965ea7c6d2gbz6zctcqez0w8geweg&from=ient07021&uid=ST500LT012-1DG142_S3PBSE95XXXXS3PBSE95&q={searchTerms}
BootExecute: autocheck autochk * sh4native Sh4Removal
Task: {F0FDF603-356D-4708-8F13-842E0A16281F} - System32\Tasks\SpyHunter4Startup => F:\SpyHunter 4.20.9.4533 Eng 32 Bit Portable\SpyHunter 4.20.9.4533 Eng 32 Bit Portable\SpyHunter4.exe
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
C:\spyhunter.fix
C:\ProgramData\eWdMe
C:\ProgramData\SWdMS
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ff42i15r14e33f26o83x.lnk
C:\Users\Dżoana\x.exe
C:\WINDOWS\SysWOW64\data.bin
C:\WINDOWS\SysWOW64\pl.html
C:\WINDOWS\SysWOW64\sh4native.exe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść całą historię przeglądania.
4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Poza tym, uruchom przeglądarkę Edge i potwierdź, że w niej nie występują te przekierowania.
Odnośnik do komentarza

Czyli również w przeglądarce Edge nie ma problemu? Kolejne poprawki:

 

1. W Firefox nadal jest hijacker. Nie została wykonana ta akcja:

 

Wyczyść Firefox z adware:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść całą historię przeglądania.

Wykonaj.

 

2. Następnie drobne poprawki. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
RemoveDirectory: C:\Adwcleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 2.4
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 2.4
RemoveDirectory: C:\Users\Dżoana\AppData\Roaming\OpenOffice.org2
RemoveDirectory: C:\Users\Dżoana\Desktop\SpyHunter 4.20.9.4533 Eng 32 Bit Portable

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...