Yoursites123 - usunięcie

[pietom]

Witam, dodam, że próbowałem usunąć już poprzez FRST przez jakiś fixlist znaleziony w necie, dopiero teraz zakumałem, że musi być pod każdego indywidualnie stworzony. Kombinowałem nawet ze SpyHunterem - skanował 2 dni, wykrył pełno syfu ale chyba nic z tym nie zrobił. 

Załączam raport z FRST

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

SpyHunter to skaner-naciągacz z czarnej listy, reklamowany mocno w fałszowanych "opisach usuwania infekcji", tylko po to by go zainstalować i płacić.

 

Na dysku widać pliki "Asystenta pobierania" portalu dobreprogramy.pl. Więcej na ten temat: KLIK. Działania do przeprowadzenia:

 

1. Odinstaluj stare wersje: Adobe Shockwave Player, J2SE Runtime Environment 5.0 Update 5, Macromedia Shockwave Player.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 
ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 
ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 
ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 
ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 
HKU\S-1-5-21-2741921912-2865077762-2063661297-1000\...\Run: [] => [X]
R1 {b7cdd446-d7a3-4f7e-97e8-ada05184647f}Gw64; C:\Windows\System32\drivers\{b7cdd446-d7a3-4f7e-97e8-ada05184647f}Gw64.sys [48784 2015-11-25] (StdLib)
S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]
Task: {1E249AE6-5B9E-4984-9C2D-01318825894D} - System32\Tasks\{ABA0C5BA-9C98-485D-BDE7-240A7C2D83BA} => pcalua.exe -a "C:\Users\Tomek\Desktop\usun bez pytania\Adobe Flash Player\Adobe Flash Player\install_flash_player.exe" -d "C:\Users\Tomek\Desktop\usun bez pytania\Adobe Flash Player\Adobe Flash Player"
Task: {6535420B-54A5-4CB5-B4E8-DF85CC29B11F} - System32\Tasks\{9E1D8059-E61B-4F92-BE7F-A34136722E99} => pcalua.exe -a C:\Users\Tomek\Downloads\Setup.exe -d C:\Users\Tomek\Downloads
Task: {7C75324C-21FE-4BEC-847A-C4F2B5E48D28} - System32\Tasks\{78C60D2A-2540-49AF-A903-993E8D3F938E} => pcalua.exe -a "E:\instalki\ACDSee Photo Manager 10.0\ACDSee Photo Manager 10.0\ACDSee 10.0.exe" -d "E:\instalki\ACDSee Photo Manager 10.0\ACDSee Photo Manager 10.0"
Task: {8E9C957B-BE90-47A9-8BFF-674932A98D73} - System32\Tasks\{70051BA3-011F-47E2-8909-984491783119} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Ontozap\uninstall.exe" -c -f "C:\Program Files (x86)\Common Files\Ontozap\uninstall.dat" -a uninstallme 599B52AA-40A4-496C-B1C1-09CCEA3B6E41 DeviceId=e61dcdb7-a9d4-8264-b533-43569c2ebb76 BarcodeId=50081003 ChannelId=3 DistributerName=APSFIMonetizer
Task: {9F2122A7-FD75-42BE-B1D3-B6893A741B7A} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe
Task: {ACA3961C-D4D2-4C7A-83D5-BEE7A6038D74} - System32\Tasks\{FB2D0967-6E6A-400C-8CB8-D98C1A9E9330} => C:\Users\Tomek\Downloads\Setup.exe
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
RemoveDirectory: C:\Program Files (x86)\360AP
RemoveDirectory: C:\Program Files (x86)\Enigma Software Group
RemoveDirectory: C:\ProgramData\1WMiniPro1
RemoveDirectory: C:\ProgramData\6WdM6
RemoveDirectory: C:\ProgramData\aWMiniProa
RemoveDirectory: C:\ProgramData\UWdMU
RemoveDirectory: C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{357E00CB-F87E-4C83-9865-644D6DA8ADFB}
RemoveDirectory: C:\Users\Tomek\AppData\Roaming\eCyber
RemoveDirectory: C:\Users\Tomek\Downloads\SpyHunter 4.12.13.4202
RemoveDirectory: C:\sh4ldr
RemoveDirectory: C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP
C:\shldr
C:\shldr.mbr
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Infix PDF Editor 4\License.lnk
C:\Users\Tomek\Desktop\stary dysk - pulpit\Tomek\auto\LCode.lnk
C:\Users\Tomek\Desktop\stary dysk - pulpit\Tomek\auto\Polski VAG 2.5.lnk
C:\Users\Tomek\Desktop\stary dysk - pulpit\Tomek\auto\Polski VAG 4.9.lnk
C:\Users\Tomek\Desktop\stary dysk - pulpit\Tomek\auto\VCDS-PL 10.6.lnk
C:\Users\Tomek\Desktop\stary dysk - pulpit\Natalia\rok szkolny 2011-2012\zebranie.docx.lnk
C:\Users\Tomek\Desktop\stary dysk - pulpit\Natalia\przedszkole- karty pracy obrazki\zima\zimowo\Gdańsk herb.jpg — skrót.lnk
C:\Users\Tomek\Desktop\stary dysk - pulpit\Natalia\przedszkole- karty pracy obrazki\dzień rodziny\Total Commander.lnk
C:\Users\Tomek\Downloads\*-dp*.exe
C:\Users\Tomek\Downloads\SpyHunter-Installer.exe
C:\Users\Tomek\Downloads\SpyHunter 4.12.13.4202.rar
C:\Windows\System32\Drivers\{b7cdd446-d7a3-4f7e-97e8-ada05184647f}Gw64.sys
C:\Windows\System32\Drivers\EsgScanner.sys
C:\Windows\System32\Tasks\SpyHunter4Startup
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

[pietom]

Nie mogę znaleźć Macromedia Shockwave Player ale być może usunął się z adobe

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Istotnie, Macromedia Shockwave Player nie jest już widoczny. Wszystko zrobione. Teraz już tylko kosmetyczne poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {29363672-3D1F-476D-82AF-3CF4F8486E05} - System32\Tasks\{EE880506-379A-4D17-9F3D-30426A2B4180} => C:\Users\Tomek\Downloads\Setup.exe
Task: {3D3DDD48-AA4A-4D84-8D41-3247E3C1915C} - System32\Tasks\{199E689F-4615-4936-B611-EB8DE21E7272} => C:\Users\Tomek\Downloads\Setup.exe
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Tomek\AppData\Roaming\Sun

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[pietom]

Dodaję logi

AdwCleanerS1.txt

Fixlog.txt

[picasso]

Ostatnia poprawka. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode
DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[pietom]

Kolejne logi

Fixlog.txt

[picasso]

Kończymy:

 

Usuń pobrane skanery i ich logi z folderu C:\Users\Tomek\Desktop\Nowy folder. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[pietom]

Serdecznie dziękuję za pomoc