yoursites123

Josafat · 19 Grudnia 2015

Witam wszystkich,

Potrzebuję pomocy w usunięciu z przeglądarek iexplorer i chrome yoursites123, strona startowa wyświetla się przy każdym uruchomieniu.

Próbowałem uruchomić skanowanie eset smart secutity, ale nic nie znajdował a na koniec skanowania jeszcze się zawiesił cały system. Skanowałem też spyboot serch & destroy, ale nic nie znalazł, też nie dał się aktualizować (odinstalowałem).

Próbuję pomóc koleżance, to jej laptop i jest absolutni nieświadomym użytkownikiem więc wszystkie scenariusze dotyczące dotychczasowego użytkowania są możliwe.

Mam nadzieję, że dobrze wykonałem instrukcję.

Pozdrawiam i czekam na pomoc:)

Addition.txt

FRST.txt

gmer.txt

picasso · 20 Grudnia 2015

Brak trzeciego obowiązkowego pliku FRST Shortcut. ESET to nie jest program wybitnie specjalizowany w instalacjach adware/PUP, a Spybot to przestarzały program.

Operacje do przeprowadzenia:

1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 10 Plugin, Adobe Reader 9.5.5 - Polish, Bing Bar, Gadu-Gadu 10, Java 7 Update 51.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R2 IhPul; C:\Users\Lucyna\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: )
R2 WdMan; C:\ProgramData\eWdMe\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
ShortcutWithArgument: C:\Users\Lucyna\Desktop\Google Chrome.lnk -> C:\Users\Lucyna\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165
ShortcutWithArgument: C:\Users\Lucyna\Desktop\shronisko wc.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165
ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165
ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Users\Lucyna\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165
ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165
ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165
ShortcutWithArgument: C:\Users\Lucyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165
CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165
CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165"
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms}
HKU\S-1-5-21-1745266210-4204149599-3607975665-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449654490&z=f5074513bb00b61e887701agdzezdtfqcw9zez3qag&from=ient07021&uid=SAMSUNGXHM321HI_S2HZJ9HB503165&q={searchTerms}
Toolbar: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1449061196&z=f6755e3469d3fa6b4c54e6ag8z3z2tde4qbg9g1t6o&from=cor&uid=SAMSUNGXHM321HI_S2HZJ9HB503165
CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1745266210-4204149599-3607975665-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Lucyna\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku
Task: {2B0EAD29-7362-48BA-9A5E-3E22F52D2B6F} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe
Task: {3A403907-9F3D-4B5B-B37D-0949CC81712A} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe
Task: {80DA04E8-6A0D-43B8-89F5-E476155034F9} - System32\Tasks\{EA5F08D9-A8BF-4316-B9E3-338FCC9401C5} => pcalua.exe -a C:\Users\Lucyna\AppData\Roaming\yoursearching\UninstallManager.exe -c -ptid=cor
Task: {F43EB2AA-C477-42B1-AEB3-25F7051833A1} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe
HKU\S-1-5-21-1745266210-4204149599-3607975665-1000\...\Run: [HW_OPENEYE_OUC_blueconnect] => C:\Program Files (x86)\blueconnect\UpdateDog\ouc.exe [110592 2009-12-31] (Huawei Technologies Co., Ltd.)
HKU\S-1-5-21-1745266210-4204149599-3607975665-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
BootExecute: autocheck autochk * sdnclean64.exe
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
RemoveDirectory: C:\Program Files (x86)\Opera
RemoveDirectory: C:\Program Files (x86)\SFK
RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2
RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy
RemoveDirectory: C:\ProgramData\eWdMe
RemoveDirectory: C:\ProgramData\JWMiniProJ
RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy
RemoveDirectory: C:\Users\Lucyna\AppData\Local\Opera Software
RemoveDirectory: C:\Users\Lucyna\AppData\Roaming\Opera Software
RemoveDirectory: C:\Users\Lucyna\AppData\Roaming\Shortcut
RemoveDirectory: C:\Users\Lucyna\AppData\Roaming\TSv
RemoveDirectory: C:\Users\Lucyna\AppData\Roaming\yoursearching
RemoveDirectory: C:\windows\System32\Tasks\Safer-Networking
C:\ProgramData\{*}.*
C:\Users\Public\Desktop\Post Win10 Spybot-install.exe
C:\windows\SysWOW64\pl.html
CMD: for /d %f in (C:\Users\Lucyna\AppData\Local\{*}) do rd /s /q "%f"
CMD: netsh advfirewall reset
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść Google Chrome:

Zresetuj synchronizację (o ile włączona): KLIK.
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.

4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym Addition + Shortcut, czyli trzy logi do przedstawienia. Dołącz też plik fixlog.txt.

Josafat · 21 Grudnia 2015

Instrukcje wykonane:) Wszystko wygląda dobrze, przynajmniej z wierzchu.

Dziękuję za pomoc:) to naprawdę fajnie, że są na świecie tacy ludzie jak Ty.

picasso · 21 Grudnia 2015

Wszystko wykonane, problem rozwiązany nie tylko "na wierzchu". Ale jeszcze na wszelki wypadek:

Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

yoursites123

Rekomendowane odpowiedzi

Josafat

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Josafat

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność