Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Problem z yoursites123

PawiXQ

Przez PawiXQ
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Posty połączyam doprowadzając do oczekiwanej na starcie formy. Oczywiśie odpowiadasz mi już w nowym poście.

 

Problemów jest tu więcej, tzn. poszkodowana przeglądarka Google Chrome przekonwertowana kiedyś przez adware do tzw. "wersji developerskiej" - wymagana kompletna reinstalacja przeglądarki od zera. Działania do przeprowadzenia:

 

1. Operacje związane z Google Chrome:

  • Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki - Opcja 2: KLIK.
  • Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
  • Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
Na razie nie instaluj Google Chrome, bo sktypt będzie doczyszczał jej elementy.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ 
ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ 
ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ 
ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ 
ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ 
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ 
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ&q={searchTerms}
HKU\S-1-5-21-1948486060-1122046647-2940547672-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ&q={searchTerms}
HKU\S-1-5-21-1948486060-1122046647-2940547672-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ
HKU\S-1-5-21-1948486060-1122046647-2940547672-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ
HKU\S-1-5-21-1948486060-1122046647-2940547672-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449847688&z=dea763014cac2f144495a95g6z6zft4b0z1m7q4bdq&from=ient07021&uid=ST3160815AS_6RA372PZXXXX6RA372PZ&q={searchTerms}
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku]
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation)
R2 WdMan; C:\ProgramData\pWdMp\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
S3 TEAM; system32\DRIVERS\RtTeam60.sys [X]
S3 VLAN; system32\DRIVERS\RtVLAN60.sys [X]
Task: {2CD5D3A6-0A9C-4FF3-A235-C210492F3B2F} - System32\Tasks\{4D0B0032-D304-4ECA-AAF9-FED9EDD426D1} => pcalua.exe -a C:\Users\Andrzej\Downloads\LeagueofLegends_EUNE_Installer_9_15_2014.exe -d C:\Windows\SysWOW64 -c /groupsextract:100;101;102; /out:"C:\Users\Andrzej\AppData\Roaming\Riot Games\League of Legends\prerequisites" /callbackid:5248
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Google
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files (x86)\Google
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins
RemoveDirectory: C:\ProgramData\pWdMp
RemoveDirectory: C:\ProgramData\TEMP
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin
RemoveDirectory: C:\Users\Andrzej\AppData\Local\Google
RemoveDirectory: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Install Logic
CMD: del /q C:\Windows\SysWOW64\pl.html
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie potem przeinstalować.
  • Menu Historia > Wyczyść całą historię przeglądania.
4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...