yoursites123 - PROBLEM z usunięciem. System 64-bit Win10

Styku · 12 Grudnia 2015

Witam! Proszę o pomoc w usunięciu yoursites123.

Addition.txt

FRST.txt

Shortcut.txt

picasso · 13 Grudnia 2015

Działania do przeprowadzenia:

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Ace Stream Media 3.0.12, Picexa.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R2 WdMan; C:\ProgramData\pWdMp\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
S2 IhPul; C:\Users\Artur\AppData\Roaming\TSv\TSvr.exe [X]
U0 avc3; Brak ImagePath
HKU\S-1-5-21-1525185845-3506830205-1325651090-1002\...\Run: [bingSvc] => C:\Users\Artur\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation)
ShortcutWithArgument: C:\Users\Artur\Desktop\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812 
ShortcutWithArgument: C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812 
ShortcutWithArgument: C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Ad.Block Plus.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812 
ShortcutWithArgument: C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812 
ShortcutWithArgument: C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812 
ShortcutWithArgument: C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812 
ShortcutWithArgument: C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812 
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812 
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812 
Edge HomeButtonPage: HKU\S-1-5-21-1525185845-3506830205-1325651090-1002 -> hxxp://www.yoursites123.com/?type=hp&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1525185845-3506830205-1325651090-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1525185845-3506830205-1325651090-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1525185845-3506830205-1325651090-1002 -> {C8BC5C67-50D5-455C-9A18-7389BC1530BF} URL = hxxps://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms}
SearchScopes: HKU\S-1-5-21-1525185845-3506830205-1325651090-1002 -> {F7F335BC-323F-41BB-9F2F-E58813898A19} URL =
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447162945&z=21f49c60f992770d87c436bg4zfzcm0g2q4o9q6w8z&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812
FF Plugin HKU\S-1-5-21-1525185845-3506830205-1325651090-1002: @acestream.net/acestreamplugin,version=3.0.12 -> C:\Users\Artur\AppData\Roaming\ACEStream\player\npace_plugin.dll [2015-09-24] (Innovative Digital Technologies)
FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Artur\AppData\Roaming\Mozilla\Firefox\Profiles\g2061wnk.default\extensions\defsearchp@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Artur\AppData\Roaming\Mozilla\Firefox\Profiles\g2061wnk.default\extensions\deskCutv2@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Artur\AppData\Roaming\Mozilla\Firefox\Profiles\g2061wnk.default\extensions\default_newtabff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Artur\AppData\Roaming\Mozilla\Firefox\Profiles\g2061wnk.default\extensions\yahooprotected@gmail.com
FF HKU\S-1-5-21-1525185845-3506830205-1325651090-1002\...\Firefox\Extensions: [acewebextension@acestream.org] - C:\Users\Artur\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension.xpi
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812
CHR HKU\S-1-5-21-1525185845-3506830205-1325651090-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1525185845-3506830205-1325651090-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449769760&z=8a7614938ea99d092be6faegezdzbt6m8qbt8m0wcc&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9EDC12812
Task: {06B43CF2-C825-4002-A939-456AE172F11B} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe
Task: {0D94FBDB-79AB-4D9F-93DB-EFD452FA24A2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {1A18EF33-8129-4287-8DCB-14116DB60F7C} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe
Task: {2B72ACDA-DE71-472D-9C57-BB0370B24281} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {31E2641C-A476-4411-9802-50ACCD51F838} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {339F9EA0-C7F6-4099-8745-B8D5EA8C1CB9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-08-17] (Lenovo)
Task: {47D4E24B-5569-46EE-B321-5C7188A7264F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {60513713-09A5-4DD5-9A6C-82D04856B092} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {6D90ABCC-48A5-4A59-A4C2-26C22D3D1479} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe
Task: {7151D214-8775-426F-8BF3-5703F9D41297} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {8A5317E8-42B7-4D9C-9AAE-E621E12EE6CE} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe
Task: {A711A505-8F49-4B23-A505-554F70D76FDD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {ACA3DAAE-EC65-4B5F-8D2E-F476D2EF7A1C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {B0B513C4-F250-4EE9-A082-130510417571} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {B87AA305-76D3-4A67-92CB-8C0C7D0C2038} - System32\Tasks\Microsoft Office 15 Sync Maintenance for IDEA-PC-Artur idea-PC => C:\Program Files\Microsoft Office\Office15\MsoSync.exe
Task: {D662445C-BDB9-4F6C-96B9-3AC540494ED5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {F0917E5B-6D47-41EA-84C9-3CBE35ADD595} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f
RemoveDirectory: C:\Program Files (x86)\Picexa
RemoveDirectory: C:\ProgramData\5WdM5
RemoveDirectory: C:\ProgramData\5WMiniPro5
RemoveDirectory: C:\ProgramData\pWdMp
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa
RemoveDirectory: C:\Users\Artur\AppData\Local\Microsoft\BingSvc
RemoveDirectory: C:\Users\Artur\AppData\Roaming\Picexa Viewer
RemoveDirectory: C:\Users\Artur\AppData\Roaming\TSv
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Users\Artur\AppData\Local\69ff07055291669bb2b218.72821112
C:\Users\Artur\AppData\Local\70149b02515b3bb20dd492.47983420
C:\WINDOWS\SysWOW64\data.bin
CMD: netsh advfirewall reset
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść przeglądarki z adware:

Firefox:

Odłącz synchronizację (o ile włączona): KLIK.
Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

Zresetuj synchronizację (o ile włączona): KLIK.
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź, że problem ustąpił także w przeglądarce Edge.

Styku · 13 Grudnia 2015

Witam ponownie!

Wszystkie przeglądarki uruchamiają się poprawnie, już bez problematycznej yoursites123 (Chrome, Firefox, oraz Edge - potwierdzam).

Dziękuję za profesjonalną pomoc!

Addition.txt

Fixlog.txt

FRST.txt

picasso · 13 Grudnia 2015

Wszystko pomyślnie zrobione, ale jeszcze poprawki:

1. W Google Chrome:

- Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres yoursites123.com, przestaw na "Otwórz stronę nowej karty".

- Ustawienia > karta Rozszerzenia > odinstaluj Ad.Block Plus. To podejrzane rozszerzenie, usunięte z Chrome Web Store (jakaś przyczyna musi być).

2. Ace Stream Media odinstalował się na pół gwizdka, pozostawiając po sobie AceWebExtension. Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-1525185845-3506830205-1325651090-1002\...\Run: [AceWebException] => C:\Users\Artur\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe [22824 2015-02-28] ()
S2 PicexaService; C:\Program Files (x86)\Picexa\PicexaSvc.exe [X]
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Picexa
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AceUpdater /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AceWebException /f
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Artur\AppData\Roaming\.ACEStream
RemoveDirectory: C:\Users\Artur\AppData\Roaming\ACEStream
RemoveDirectory: C:\Users\Artur\AppData\Roaming\AceWebExtension
RemoveDirectory: C:\Users\Artur\Desktop\Stare dane programu Firefox

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

yoursites123 - PROBLEM z usunięciem. System 64-bit Win10

Rekomendowane odpowiedzi

Styku

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Styku

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność