mHab38 Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Mam problem z usunięciem yoursites123. Proszę o pomoc i z góry dziękuję. Załączam logi FRST.txt Shortcut.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\...\Run: [Clownfish] => 0 HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\...\Run: [bingSvc] => C:\Users\Michał\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-11] (© 2015 Microsoft Corporation) GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1115924686-2776352850-3644351443-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} SearchScopes: HKU\S-1-5-21-1115924686-2776352850-3644351443-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY&q={searchTerms} SearchScopes: HKU\S-1-5-21-1115924686-2776352850-3644351443-1002 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY Edge HomeButtonPage: HKU\S-1-5-21-1115924686-2776352850-3644351443-1002 -> hxxp://www.mystartsearch.com/?type=hp&ts=1444924057&z=d899f6f6d39a682d6380dceg6zdz9z8t8ocz8edw7m&from=cornl&uid=wdcxwd10ezex-00bn5a0_wd-wcc3f6ne43fye43fy CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449847005&z=da9e65e9a792398d80ddbe2gdzazbt8b5z8mee8e7e&from=ient07021&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F6NE43FYE43FY" CHR HKU\S-1-5-21-1115924686-2776352850-3644351443-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx Task: {01328E16-2AF6-43F4-9BE5-3C395BF6C87F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {0E57B90D-E108-46E5-8C4F-20B9D9CFADBF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {4CFABD42-8534-4358-B5A5-4FBFFB6BABB1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {6A40F6F6-E760-4DDC-AC10-4CE1FD49BCC9} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6BF11E81-E56C-48ED-9643-71BE3A65F88D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {73A24B5C-626B-4C02-8F3E-50DEB04B5943} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {798A506F-A2F9-4597-96BA-2DBF8B1905CF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {7A55AAAB-D063-4562-8223-D8CBE4F030FD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {83CEA685-A308-4EAE-8307-E385D2FA1E28} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {B2DC40BE-3686-4BC0-A40C-A725B89F5666} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BB0D50E3-284A-4CCF-96A7-A4326EC4B8AB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {C0F40F3E-6B39-46B2-B32E-0BD2EF83E9E4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\ProgramData\31f7a620-acbd-4f84-82db-5e231b8ad5de RemoveDirectory: C:\ProgramData\JWdMJ RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Serious Sam 3 BFE RemoveDirectory: C:\Users\Michał\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Michał\AppData\Local\Microsoft\Lenovo RemoveDirectory: C:\Windows\System32\Tasks\Lenovo CMD: del /q "C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk" CMD: del /q "C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom Zoek. W oknie wklej: Metric Collection SDK 35;u Klik w Run Script. Powstanie plik zoek-results.log (zmień mu ręcznie rozszerzenie na *.txt). 3. Wyczyść przeglądarki z adware: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware Crazy Score, Jungle Net, Sale Clipper 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt + zoek-results.txt. Potwierdź, że problem ustąpił także w przeglądarce Edge. Odnośnik do komentarza
mHab38 Opublikowano 12 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Bardzo dziękuję, pomogło Addition.txt Fixlog.txt FRST.txt zoek-results.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 To już drugi (niewłaściwy) log Zoek, bo ten nie przedstawia nic, a wejście "Metric Collection SDK 35" zniknęło. Zostaw już ten wątek. Prawie wszystko zrobione, za wyjątkiem Opery. Ja nadal widzę w niej te trzy podane rozszerzenia adware: Opera: ======= OPR Extension: (Sale Clipper) - C:\Users\Michał\AppData\Roaming\Opera Software\Opera Stable\Extensions\eahkihgggfjloadgcbakhekclipmenhc [2015-07-29] OPR Extension: (Crazy Score) - C:\Users\Michał\AppData\Roaming\Opera Software\Opera Stable\Extensions\hbodcokijpkmonfpjmgdknkodebiejol [2015-05-25] OPR Extension: (Jungle Net) - C:\Users\Michał\AppData\Roaming\Opera Software\Opera Stable\Extensions\ncpoabkajdanepplbicgbjeahpbkelhg [2015-06-14] Czy Ty ich nie widzisz na liście rozszerzeń Opery? Odnośnik do komentarza
mHab38 Opublikowano 12 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Po prostu nie korzystam z opery. Już usunąłem rozszerzenia. Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Na przyszłość: nie pomijaj żadnych punktów z instrukcji. Bez znaczenia, że nie korzystasz z Opery skoro jest nadal zainstalowana, adware nie można było zostawić. Skoro na pewno teraz zadanie wykonane, to kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj podane poniżej programy: ==================== Zainstalowane programy ====================== Adobe Shockwave Player 12.1 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.1.7.157 - Adobe Systems, Inc.) Java 8 Update 31 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218031F0}) (Version: 8.0.310 - Oracle Corporation) 3. I poczytaj na co uważać, by uniknąć podobnych problemów w przyszłości: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi