Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

yoursites123

ozyn

Przez ozyn
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

ozyn

ozyn

Opublikowano
Opublikowano

Witam,

 

Mam problem z yoursites123. Zaczęło się od tego, że yoursites123 było domyślną stroną startową Chrome i IE (Firefoxa nie mam) i domyślną wyszukiwarką tych przeglądarek.

 

Chrome sam w pewnym momencie uruchomił narzędzie do usuwania tego czegoś i wygląda na to, że zrobił to skutecznie - problem nie wraca. Próba wywalenia z IE się nie powiodła (czyściłem klucze w rejestrze zawierające adres strony i resetowałem ustawienia w IE).

 

Dodatkowo Chrome zawsze chodzi w tle. Tzn. mam jedną instancję chrome.exe, której nie da się zamknąć - nawet po taskkill otwiera się na nowo.

GMER.txt

FRST.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W Google Chrome nadal są adresy tego hijackera, więc Google Software Removal Tool nie rozwiązało problemu do końca. Poza tym, do czyszczenia są odpadki po odinstalowanych programach (Firefox, Wondershare). Działania do wdrożenia:

 

1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader X (10.1.13), ASUS WebStorage, Gadu-Gadu 10, Java 7 Update 71, Java™ 6 Update 33, MyFreeCodec.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 WdMan; C:\ProgramData\SWdMS\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
S3 WsDrvInst; C:\Program Files (x86)\Wondershare\MobileTrans\DriverInstall.exe [X]
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\The Witcher Enhanced Edition\The Witcher Enhanced Edition Director's Cut.lnk -> C:\GOG Games\The Witcher Enhanced Edition\launcher.exe (CD Projekt Red) -> hxxp://www.yoursites123.com/?type=sc&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\The Witcher 2\The Witcher 2 - Assassins of Kings Enhanced Edition.lnk -> C:\GOG Games\The Witcher 2\Launcher.exe (CD Projekt RED) -> hxxp://www.yoursites123.com/?type=sc&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX
ShortcutWithArgument: C:\Users\O\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX
ShortcutWithArgument: C:\Users\O\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX
ShortcutWithArgument: C:\Users\O\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX
ShortcutWithArgument: C:\Users\O\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX
CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX
CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449730320&z=526fdc7ac55040cff62760eg6z1z4t5m9cfeacagem&from=ient07021&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX"
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-07-06]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446927941&z=60a86bf69c7afea981bb931g0z3zeqbt1o7mcq0wac&from=cor&uid=HitachiXHTS547564A9E384_J2180053HSSL8DHSSL8DX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
CustomCLSID: HKU\S-1-5-21-4082953895-1316987766-2457085210-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\O\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4082953895-1316987766-2457085210-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\O\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4082953895-1316987766-2457085210-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\O\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4082953895-1316987766-2457085210-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\O\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4082953895-1316987766-2457085210-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\O\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4082953895-1316987766-2457085210-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\O\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4082953895-1316987766-2457085210-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\O\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku
Task: {0B383633-3803-40FE-84CE-A71A76654FDC} - \GoogleUpdateTaskMachineUA1ce7fa9862ca550 -> Brak pliku 
Task: {0DB03E12-E5C6-4018-AD89-EE4C83A0FFE6} - \Adobe Acrobat Update Task -> Brak pliku 
Task: {2D020D77-B17D-46FB-B71D-D85BCB93182D} - \GoogleUpdateTaskMachineUA1d041879acac158 -> Brak pliku 
Task: {55A7F832-7124-4F39-8D71-4D64D131FA64} - System32\Tasks\{99158B47-65AC-444E-BBF7-132FEF900C0D} => pcalua.exe -a C:\Users\O\Downloads\MobilePre_6_0_1_5_10_0_5131.exe -d C:\Users\O\Downloads
Task: {803F41AD-55F2-49C5-B240-300FA28304D3} - \DeviceDetector -> Brak pliku 
Task: {814B7055-9581-469F-9672-36C625E8034C} - \ASUS Live Update -> Brak pliku 
Task: {9D6678B9-D978-497D-A83D-3AE1C90E31E6} - System32\Tasks\{F3EDFBDD-8E49-438A-8DE3-E9CDF146DED4} => pcalua.exe -a C:\Users\O\AppData\Local\Temp\18f03e0d-877e-4c71-a637-211858fe0e61\InstallShieldUninstaller.exe -d C:\Users\O\Downloads
Task: {B22F1DC1-BCD7-4940-9CF1-48B2FDEB5C80} - \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task -> Brak pliku 
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2072928 2014-10-31] (Wondershare)
HKU\S-1-5-21-4082953895-1316987766-2457085210-1000\...\Run: [iSUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe -scheduler
HKU\S-1-5-21-4082953895-1316987766-2457085210-1001\...\Run: [Remote Control Server] => C:\Program Files (x86)\Remote Control Server\Remote Control Server.exe
HKU\S-1-5-21-4082953895-1316987766-2457085210-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-4082953895-1316987766-2457085210-1001\...\Run: [GoogleChromeAutoLaunch_798739510D2FCBF438098B364BC5BD43] => C:\Users\O\AppData\Local\Google\Chrome\Application\chrome.exe [741704 2015-12-04] (Google Inc.)
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUSWebStorage
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CCleaner Monitoring
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox
RemoveDirectory: C:\Program Files (x86)\Common Files\Wondershare
RemoveDirectory: C:\ProgramData\4WdM4
RemoveDirectory: C:\ProgramData\Mozilla
RemoveDirectory: C:\ProgramData\SWdMS
RemoveDirectory: C:\ProgramData\Temp
RemoveDirectory: C:\ProgramData\vWMiniProv
RemoveDirectory: C:\Users\O\AppData\Local\Mozilla
RemoveDirectory: C:\Users\O\AppData\Roaming\Mozilla
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Users\O\AppData\Roaming\.ptbt1
C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Wszystko zrobione, problem główny rozwiązany. Kolejna porcjaczynności:

 

1. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

 

2. Notuję tu już od początku poniższy oto odczyt. Poproszę o log z Farbar Service Scanner.

 

mpsdrv => Usługa "Zapora systemu Windows" nie jest uruchomiona.

MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona.
Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...