Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Usuwanie yoursites 123...

lemont72

Przez lemont72
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Na podstawie zawartości folderu Temp wiadomo, że był uruchamiany świński "Asystent pobierania" portalu dobreprogramy.pl: KLIK. Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 WdMan; C:\ProgramData\8WdM8\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
ShortcutWithArgument: C:\Users\Lord Lemur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT 
ShortcutWithArgument: C:\Users\Lord Lemur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT 
ShortcutWithArgument: C:\Users\Lord Lemur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT 
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT&q={searchTerms}
HKU\S-1-5-21-3012261713-3946105542-649937570-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT&q={searchTerms}
HKU\S-1-5-21-3012261713-3946105542-649937570-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT
HKU\S-1-5-21-3012261713-3946105542-649937570-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT
HKU\S-1-5-21-3012261713-3946105542-649937570-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3012261713-3946105542-649937570-1002 -> {D1946AB6-3DF2-42A1-ACE9-F9C50D2B3454} URL =
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT
HKLM\...\Run: [] => [X]
HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"
HKU\S-1-5-21-3012261713-3946105542-649937570-1002\...\MountPoints2: {b0cb83f0-d614-11e4-826a-0c54a5f2ac84} - "G:\setup.exe"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\ProgramData\8WdM8
RemoveDirectory: C:\Users\Lord Lemur\Desktop\Stare dane programu Firefox
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skrypty są jednorazowego użytku. Fix był uruchamiany dwa razy. Podany tu Fixlog nie jest właściwym, pochodzi z drugiego uruchomienia, skrypt nie wykona ponownie rzeczy już przetworzonych w pierwszym podejściu. Ale zostaw już ten wątek. Po raportach głównych FRST można stwierdzić, że wszystko zrobione. Kończymy:

 

Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...