Yoursite123 - Jak usunąć?

[Pelo132]

Cześć! Potrzebuję pomocy ze strona YOURSITE123. Pewnie to jakaś usługa pobrana przez aktualizacje mozilli, albo nie wiem.

Wchodzę dzisiaj na przeglądarkę, patrzę a tu "Yoursite123". Pierwsza myśl, pewnie brat coś pobrał. Zobaczyłem czy coś zostało pobrane, nic. Zobaczyłem na wszystkie programy, czy jest jakiś "śmieciowy program". Szukając w liście nie natrafiłem się na nic i tak znalazłem się tutaj. Na Chrome mam to samo.

 

//Edit - Dodane.

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

[picasso]

Tu nie tylko jest hijacker yoursites123, ale też i Bitcoin Miner udający Steam i uruchamiający się via Harmonogram zadań, powinieneś notować wysokie obciążenie CPU:

 

Task: {812F5055-02A6-4D10-9877-70B76FC83A95} - System32\Tasks\Steam-S-1-8-22-9865GUI => C:\Users\MAX\AppData\Roaming\WinRAR\Reversed\steam.exe [2015-08-06] ()

 

 

Działania do przeprowadzenia:

 

1. Odinstaluj firmowy zbędnik Browser Configuration Utility i starszą wersję Java 8 Update 51.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 IhPul; C:\Users\MAX\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: )
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Euro Truck Simulator 2 Multiplayer\Play Euro Truck Simulator 2 Multiplayer.lnk -> C:\Program Files\Euro Truck Simulator 2 Multiplayer\launcher.exe (ETS2MP Team) -> hxxp://www.yoursites123.com/?type=sc&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX
ShortcutWithArgument: C:\Users\MAX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX
ShortcutWithArgument: C:\Users\MAX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX
ShortcutWithArgument: C:\Users\MAX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX
ShortcutWithArgument: C:\Users\MAX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX
ShortcutWithArgument: C:\Users\MAX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX
ShortcutWithArgument: C:\Users\MAX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX
ShortcutWithArgument: C:\Users\Public\Desktop\Play Euro Truck Simulator 2 Multiplayer.lnk -> C:\Program Files\Euro Truck Simulator 2 Multiplayer\launcher.exe (ETS2MP Team) -> hxxp://www.yoursites123.com/?type=sc&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX
HKU\S-1-5-21-1191921471-775121805-984144667-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX&q={searchTerms}
HKU\S-1-5-21-1191921471-775121805-984144667-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX
HKU\S-1-5-21-1191921471-775121805-984144667-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX
HKU\S-1-5-21-1191921471-775121805-984144667-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1191921471-775121805-984144667-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1191921471-775121805-984144667-1000 -> {1925F7FA-8547-4c65-B51E-1AE3FD0AA2E2} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1191921471-775121805-984144667-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1191921471-775121805-984144667-1000 -> {B2F351CC-2D9A-4730-9C25-B8EBC6159D8C} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\MAX\AppData\Roaming\Mozilla\Firefox\Profiles\be0qfrvt.default\extensions\defsearchp@gmail.com => nie znaleziono
FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\MAX\AppData\Roaming\Mozilla\Firefox\Profiles\be0qfrvt.default\extensions\deskCutv2@gmail.com => nie znaleziono
FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\MAX\AppData\Roaming\Mozilla\Firefox\Profiles\be0qfrvt.default\extensions\default_newtabff@gmail.com => nie znaleziono
FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\MAX\AppData\Roaming\Mozilla\Firefox\Profiles\be0qfrvt.default\extensions\yahooprotected@gmail.com => nie znaleziono
CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX
CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX"
CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX&q={searchTerms}
CHR DefaultSearchKeyword: Default -> yoursites123
StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450083796&z=fa1d4d30cb59bad08c5bb62gbz9wee3e7b6cbm4t3q&from=wpm07173&uid=TOSHIBAXDT01ACA100_Z4LEMS4NSXXZ4LEMS4NSX
Task: {024D4797-B19C-4E19-AAB3-F5D34BF3606A} - System32\Tasks\{AE12B38F-49F8-4BB0-B43F-CA54CCB33DAA} => pcalua.exe -a C:\Users\MAX\Desktop\vcredist_x86.exe -d C:\Users\MAX\Desktop
Task: {2D09B38F-D9A9-4D3B-8ADC-978B0E848446} - System32\Tasks\{B2625D08-42EF-4261-97C9-349BDD1B84BD} => pcalua.exe -a "I:\Farming Simulator 2015 [RePack]\Setup.exe" -d "I:\Farming Simulator 2015 [RePack]"
Task: {812F5055-02A6-4D10-9877-70B76FC83A95} - System32\Tasks\Steam-S-1-8-22-9865GUI => C:\Users\MAX\AppData\Roaming\WinRAR\Reversed\steam.exe [2015-08-06] () 
Task: {D55EB98E-EE42-48EF-A3B8-986B4627E94E} - System32\Tasks\{655D4F00-57A7-472F-AAD5-8D53A8163551} => pcalua.exe -a C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe -c /M{9527A496-5DF9-412A-ADC7-168BA5379CA6}
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X]
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\yoursites123Software
RemoveDirectory: C:\Program Files\SFK
RemoveDirectory: C:\Program Files\WinZipper
RemoveDirectory: C:\ProgramData\2WdM2
RemoveDirectory: C:\ProgramData\OWdMO
RemoveDirectory: C:\ProgramData\ZWMiniProZ
RemoveDirectory: C:\Users\MAX\AppData\Local\Microsoft\Windows\GameExplorer\{8827CE3D-9D26-46B3-ADE9-1E8078799DB3}
RemoveDirectory: C:\Users\MAX\AppData\Roaming\istartsurf
RemoveDirectory: C:\Users\MAX\AppData\Roaming\TSv
RemoveDirectory: C:\Users\MAX\AppData\Roaming\WinZipper
RemoveDirectory: C:\Users\MAX\AppData\Roaming\WinRAR\Reversed
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Users\MAX\Desktop\Foldery\muzyka\Music\msc2\Disco Polo 2014 - Spike - Weekendowy Szał - Official Video.lnk
C:\Users\MAX\Desktop\Foldery\muzyka\mp3\Nowy folder\20.05.2015\Disco Polo 2014 - Spike - Weekendowy Szał - Official Video.lnk
C:\Users\MAX\Desktop\Foldery\Stare nutki\Disco Polo 2014 - Spike - Weekendowy Szał - Official Video.lnk
C:\Users\MAX\Desktop\Foldery\There is my dolphin\Aparat i prezentacja.lnk
C:\Users\MAX\Desktop\Foldery\There is my dolphin\Karta roweromujwa.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki z adware:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.
• Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy yousites123 (o ile nadal będzie).

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[Pelo132]

Dziękuje bardzo. Proszę, oto logi.

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Wszystko pomyślnie przeprowadzone, problemy rozwiązane, ale jeszcze poprawki:

 

Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[Pelo132]

Dzięki za szybką pomoc. Proszę, oto jeszcze logi z Adw.

AdwCleaner.txt

[picasso]

Mówiłam wyraźnie, by tylko uruchomić Skanuj i dostarczyć wyniki, nic jeszcze nie usuwać. Pośpieszyłeś się. I kończymy:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku te elementy:

 

C:\Users\MAX\Desktop\Stare dane programu Firefox

C:\Windows\system32\pl.html

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

[Grobi22]

Czy mogę również otrzymać pomoc? Przeskanowałem tym FRST, ale dalej już nie umiem samemu sobie poradzić z tym w notatniku. To moje logi z FRST:
 

[Rucek]

@Grobi22:

zapoznaj się prosze z zasadami działu:
1. https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/
2. https://www.fixitpc.pl/forum-38/announcement-2-wa%C5%BCne-oprogramowanie-emuluj%C4%85ce-nap%C4%99dy/
3. https://www.fixitpc.pl/forum-38/announcement-1-wa%C5%BCne-u%C5%BCytkownicy-uprawnieni-do-pomocy/

Przeczytaj wszystko przed wykonaniem działań by było wiadomo co robić. Załóż nowy temat. Dołącz 4 obowiązkowe logi.

[Jagolinka]

Mam problem z yoursites123.com. Proszę o pomoc i załączam logi.

Addition.txt

FRST.txt

[Rucek]

@Jagolinka - zapoznaj się prosze z zasadami działu:
1. http://www.fixitpc.p...owiązkowe-logi/
2. http://www.fixitpc.p...ulujące-napędy/
3. http://www.fixitpc.p...ieni-do-pomocy/

Przeczytaj wszystko przed wykonaniem działań by było wiadomo co robić. Załóż nowy temat. Dołącz 4 obowiązkowe logi.