Problem z usunięciem yoursites123

[solo132]

witam,

Widzę, że mam populary ostatnio problem ;p

Młodsza siostrzenica korzystała ostatnio z komputera i prawdopodobnie kliknęła jakiś link i zainstalowała yoursites123.

Problem objawia się tym, że przy włączaniu przeglądarki, automatycznie wstawia się właśnie yourstites123 - na każdej przeglądarce.

Operę odinstalowałem, bo mi nie jest potrzebna.

Chrome przeinstalowałem na nowo, zmieniłem stronę startową itd. i jest ok.

Natomiast w IE mimo próby odinstalowania yoursites123 nadal jest i się uruchamia przy uruchamianiu przeglądarki.

 

Komputer stacjonarny

System: windows xp, service pack 3.

Antywirus: Avast Home edition (free).

Dodatkowe oprogramowanie do urządzenia wielofunkcyjnego HP Photosmart.

Komputer nie jest mój, tylko pomagam.

Nie ma  żadnych emulatorów, natomiast jest dostarczone z nagrywarką LG Bluebirds (widoczne jako napęd CD w Mój Komputer (próbowałem jakoś to zmienić/odinstalować, ale nie mogę).

Uruchamiałem wcześniej przed logami Malwarebytes Anti-Malware oraz AdwCleaner, ale nie pomogło.

 

Z dodatkowych informacji- przy tworzeniu loga z FRST, a dokładnie Shortcut.txt pojawiał się jeden błąd (ale klikałem dalej/kontynuuj i przeszło po kilku razach):

 

System Windows - Stacja nie jest gotowa

Exception Processing Message c00000a3 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c

 

To wszystko - będę wdzięczny za pomoc w naprawie

Addition.txt

FRST.txt

Shortcut.txt

GMER skan.txt

[picasso]

Przypuszczalna droga nabycia to pobieranie z portali: KLIK. W systemie ślady użycia "Asystenta pobierania" dobrychprogramów:

 

Shortcut: C:\Documents and Settings\User4\Pulpit\Continue WinRAR installation.lnk -> C:\Documents and Settings\User4\Ustawienia lokalne\Temp\ICReinstall_WinRAR(12398)-dp.exe (Brak pliku)

 

I próbę ponawiano także w trakcie czyszczenia systemu, na dysku jest kolejny śmieciarski plik "Asystenta" dobrychprogramów, to nie jest poprawny instalator IE8:

 

2015-12-12 13:13 - 2015-12-12 13:13 - 00962128 _____ (Installer Soft Program ) C:\Documents and Settings\User4\Pulpit\Internet-Explorer-20403-dp.exe

 

Był też używany Avenger, program zupełnie nie pasujący do zadania. Działania do wdrożenia:

 

1. Przez Dodaj/Usuń programy odinstaluj zbędniki: Adobe AIR, Adobe Flash Player 20 NPAPI (wersja dla FF), Adobe Flash Player 20 PPAPI (wersja dla Opera), HP Customer Participation Program 7.0.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\1WdM1\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
ShortcutWithArgument: C:\Documents and Settings\User4\Pulpit\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847794&z=7824e1c30f58d648bcd9fd0g6z5z7t2bazdmematfw&from=ient07021&uid=WDCXWD2500AAKS-00L9A0_WD-WMAV2E07242072420 
ShortcutWithArgument: C:\Documents and Settings\User4\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847794&z=7824e1c30f58d648bcd9fd0g6z5z7t2bazdmematfw&from=ient07021&uid=WDCXWD2500AAKS-00L9A0_WD-WMAV2E07242072420 
ShortcutWithArgument: C:\Documents and Settings\User4\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847794&z=7824e1c30f58d648bcd9fd0g6z5z7t2bazdmematfw&from=ient07021&uid=WDCXWD2500AAKS-00L9A0_WD-WMAV2E07242072420 
HKU\S-1-5-21-1644491937-2147184641-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847794&z=7824e1c30f58d648bcd9fd0g6z5z7t2bazdmematfw&from=ient07021&uid=WDCXWD2500AAKS-00L9A0_WD-WMAV2E07242072420
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-04-03]
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\yoursites123Software
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Avenger
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\1WdM1
RemoveDirectory: C:\Program Files\ghokswa Browser
RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CMD: del /q "C:\Documents and Settings\User4\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK"
CMD: del /q "C:\Documents and Settings\User4\Pulpit\*-dp*.exe"
CMD: del /q "C:\Documents and Settings\User4\Pulpit\Continue WinRAR installation.lnk"
CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\Skrót do PEDAGOGIKA_SPECJALNA_1.pdf.lnk"
CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\Menu Start\Adobe Reader X.lnk"
CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\Menu Start\doc20120724122916.lnk"
CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\Menu Start\Microsoft Office\target.lnk"
CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\DOKUMENTY ZGRANE Z POPRZEDNIEGO KOMPA\Adobe Reader X.lnk"
CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\DOKUMENTY ZGRANE Z POPRZEDNIEGO KOMPA\Kompendium Dyrektora Szkoły.lnk"
CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\DOKUMENTY ZGRANE Z POPRZEDNIEGO KOMPA\michałek1.lnk"
CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\DOKUMENTY ZGRANE Z POPRZEDNIEGO KOMPA\Skrót do DOKUMENTY ZGRANE Z POPRZEDNIEGO KOMPA.lnk"
CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\DOKUMENTY ZGRANE Z POPRZEDNIEGO KOMPA\Skrót do oferta~1.lnk"
CMD: del /q "C:\Documents and Settings\User4\Pulpit\zgrane z poprzedniego komputera\DOKUMENTY ZGRANE Z POPRZEDNIEGO KOMPA\Zdjęcia z kamery\zdjęcia\tegrys.lnk"
CMD: del /q "C:\Documents and Settings\User4\Moje dokumenty\Kopia moje zdjecia\Skrót do testy2014B-setup (1).exe.lnk"
CMD: del /q C:\WINDOWS\system32\pl.html
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zainstaluj IE8, gdyż IE6 to bardzo dziurawa wersja: KLIK.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale już bewz Shortcut. Dołącz też plik fixlog.txt.

[solo132]

witam,

Zrobiłem wszystko wg instrukcji - poniżej logi.

W IE nie pojawia się już omawiany yoursites123.

Także chyba wszystko ok?

FRST.txt

Addition.txt

Fixlog.txt

[picasso]

Wszystko pomyślnie wykonane. Kończymy:

 

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Poza tym, Adobe Reader XI (11.0.08) trzeba ręcznie zaktualizować do wersji 11.0.13.

[solo132]

witam,

Przepraszam, że dopiero teraz się odzywam, ale niestety nie mogłem wcześniej.

DelFix zastosowany, foldery wyczyszczone.

Tylko Adobe nie chce się ręcznie zaktualizować - pytanie czy odinstalować ten stary i zainstalować na nowo program, już w nowszej wersji czy nie jest to konieczne?

Dziękuję picasso bardzo za pomoc