www.yoursites123.com na Windows 10

wieloryb · 30 Stycznia 2016

Cześć !

Mak problem z pozbyciem się uciążliwego yoursites123.

Sposoby z netu nie działają, gdyż nie widać go ani w dodatkach przeglądarek ani w zainstalowanym oprogramowaniu. Wiem, że nie jestem pierwszy, próbowałem sam się tego pozbyć w różny sposób, ale to g. powraca...

Z góry dziękuję za pomoc

Addition.txt

FRST.txt

Shortcut.txt

picasso · 5 Lutego 2016

Ta infekcja modyfikuje m.in. wszystkie skróty LNK przeglądarek. Stosowałeś przestarzały program HijackThis - program niekompatybilny z systemami 64-bit, pokazuje na nich głupoty.

Operacje do przeprowadzenia:

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: HQ Video Pro 3.1cV20.04 (adware), Java 8 Update 45 (stara wersja), McAfee Security Scan Plus (sponsor produktów Adobe).

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
R2 IhPul; C:\Users\Zajace4\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
ShortcutWithArgument: C:\Users\Zajace4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1451329733&z=6a002b568797aaf99936a70g0zfwcgdc9o1t6maoat&from=wpm12253&uid=PatriotXBlaze_DB8C074A1EEE00925399
ShortcutWithArgument: C:\Users\Zajace4\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449820129&z=c9868ec4224a259f366dad1gbz8zbt3b5o9e5g9o0o&from=ient07021&uid=PatriotXBlaze_DB8C074A1EEE00925399
ShortcutWithArgument: C:\Users\Zajace4\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449820129&z=c9868ec4224a259f366dad1gbz8zbt3b5o9e5g9o0o&from=ient07021&uid=PatriotXBlaze_DB8C074A1EEE00925399
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449820129&z=c9868ec4224a259f366dad1gbz8zbt3b5o9e5g9o0o&from=ient07021&uid=PatriotXBlaze_DB8C074A1EEE00925399
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449820129&z=c9868ec4224a259f366dad1gbz8zbt3b5o9e5g9o0o&from=ient07021&uid=PatriotXBlaze_DB8C074A1EEE00925399
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130984079392643124&GUID=518A86A5-2E2B-41C2-8A78-85583B39C256
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1451329733&z=6a002b568797aaf99936a70g0zfwcgdc9o1t6maoat&from=wpm12253&uid=PatriotXBlaze_DB8C074A1EEE00925399&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1451329733&z=6a002b568797aaf99936a70g0zfwcgdc9o1t6maoat&from=wpm12253&uid=PatriotXBlaze_DB8C074A1EEE00925399&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449820129&z=c9868ec4224a259f366dad1gbz8zbt3b5o9e5g9o0o&from=ient07021&uid=PatriotXBlaze_DB8C074A1EEE00925399
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1451329733&z=6a002b568797aaf99936a70g0zfwcgdc9o1t6maoat&from=wpm12253&uid=PatriotXBlaze_DB8C074A1EEE00925399&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1451329733&z=6a002b568797aaf99936a70g0zfwcgdc9o1t6maoat&from=wpm12253&uid=PatriotXBlaze_DB8C074A1EEE00925399&q={searchTerms}
HKU\S-1-5-21-60943337-3696856479-3242954001-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE03&ocid=UE03DHP
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-60943337-3696856479-3242954001-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1451329733&z=6a002b568797aaf99936a70g0zfwcgdc9o1t6maoat&from=wpm12253&uid=PatriotXBlaze_DB8C074A1EEE00925399&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1451329733&z=6a002b568797aaf99936a70g0zfwcgdc9o1t6maoat&from=wpm12253&uid=PatriotXBlaze_DB8C074A1EEE00925399
FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Zajace4\AppData\Roaming\Mozilla\Firefox\Profiles\qhfgy5ia.default-1449846187322\extensions\default_newtabff@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Zajace4\AppData\Roaming\Mozilla\Firefox\Profiles\cznp7msj.default-1429823629492\extensions\yahooprotected@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-01-27]
Task: {55F63178-4ED7-4295-9854-96A2B0C0E3C1} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe
Task: {5BE5CDF5-17BD-4A41-9A9B-F0FF2AD14F8E} - System32\Tasks\{3B33C10F-B401-4A59-9B79-BDC99A5F7524} => pcalua.exe -a C:\Users\Zajace4\AppData\Local\Temp\Temp2_realtek_web_camera_6_2_9200_10279_driver.zip\Realtek_PC_Camera_6.2.9200.10279\setup.exe
Task: {67BD1741-3267-41CA-BD0D-D2186DA1BC6F} - System32\Tasks\{B98C8710-330D-4ADD-B2C1-9A02EFF71E80} => Firefox.exe hxxp://ui.skype.com/ui/0/7.12.0.101/pl/abandoninstall?source=lightinstaller&page=tsBing
Task: {F556775E-F4A2-40B9-A4D6-E2E44D9BB534} - System32\Tasks\{FC3DBD1E-168E-43FD-9D58-8DF230F33C8B} => pcalua.exe -a C:\Users\Zajace4\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=tugs
Task: {FCB977F7-DC72-4C50-B2EE-EFB1013A1BA5} - System32\Tasks\{0EEE5834-5F1F-4BD2-A784-BD83551DDE51} => pcalua.exe -a C:\Users\Zajace4\AppData\Local\Temp\Temp1_realtek_web_camera_6_2_9200_10279_driver.zip\Realtek_PC_Camera_6.2.9200.10279\setup.exe
Task: C:\WINDOWS\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe
S3 RimUsb; \SystemRoot\System32\Drivers\RimUsb_AMD64.sys [X]
HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Dell Wireless\Bluetooth Suite\BtvStack.exe
HKU\S-1-5-21-60943337-3696856479-3242954001-1001\...\MountPoints2: {be24ee16-c6d7-11e5-82d9-4cbb5838f9b9} - "C:\WINDOWS\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL G:\Start.exe
RemoveDirectory: C:\ProgramData\nWdMn
RemoveDirectory: C:\Users\Zajace4\AppData\Roaming\TSv
C:\Program Files (x86)\SSFK.exe
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Users\Zajace4\AppData\Roaming\Q9T589iNTvVbOCsef0wBnTR
C:\Users\Zajace4\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk
C:\Users\Zajace4\Desktop\Basia\Edilingua Progetto italiano 1.lnk
C:\Users\Zajace4\Desktop\MAREK\E-PM2 Instrukcja obsługi.lnk
C:\Users\Zajace4\Desktop\NASZE AUTA\Lightroom 4.3.lnk
C:\Windows\SysWOW64\pl.html
C:\Windows\SysWOW64\pl7.exe
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Serviio.lnk /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SBRegRebootCleaner /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v StartCCC /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź, że problem nie występuje także w przeglądarce Edge.

wieloryb · 5 Lutego 2016

Hej,

Warto było czekać. Problem zniknął.

Dziękuję pięknie i wysyłam dotację na konto

Twój profesjonalizm musi być doceniany !!

Pozdrawiam !

Oto i świeże logi

Fixlog.txt

FRST.txt

Addition.txt

picasso · 5 Lutego 2016

Wszystko elegancko przetworzone. Teraz jeszcze na wszelki wypadek:

Uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

wieloryb · 6 Lutego 2016

Zrobione.

AdwCleanerS1.txt

picasso · 10 Lutego 2016

Drobne poprawki. Otwórz Notatnik i wklej w nim:

DeleteKey: HKCU\Software\Mozilla\Extends
DeleteKey: HKCU\Software\RST
DeleteKey: HKCU\Software\HQ Video Pro 3.1cV20.04
DeleteKey: HKCU\Software\HQ Video Pro 3.1cV20.04-nv-ie
DeleteKey: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\Installer
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\yoursites123.com
DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp
DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode
DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv
DeleteKey: HKLM\SOFTWARE\Wow6432Node\HQ Video Pro 3.1cV20.04
DeleteKey: HKLM\SOFTWARE\Wow6432Node\HQ Video Pro 3.1cV20.04-nv-ie
DeleteKey: HKU\S-1-5-18\Software\HQ Video Pro 3.1cV20.04-nv-ie
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\HQ Video Pro 3.1cV20.04
RemoveDirectory: C:\Users\Zajace4\Desktop\Stare dane programu Firefox
Folder: C:\ProgramData\{010DD54D-6F97-418D-BC47-2089F30A0075}

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

wieloryb · 10 Lutego 2016

Cześć.

Oto ostatni log.

Pozdrawiam !

Fixlog.txt

picasso · 10 Lutego 2016

1. Za późno poprawiłam literówkę w skrypcie. Ostatni skrypt do FRST o postaci:

DeleteKey: HKU\S-1-5-18\Software\HQ Video Pro 3.1cV20.04-nv-ie

2. Na koniec przez SHIFT+DEL (omija Kosz) skasuj pobrany FRST i jego logi z D:\DIAGNOSTYKA. Popraw za pomocą DelFix

wieloryb · 18 Lutego 2016

Zadanie wykonane.

Pozdrawiam!

Zaloguj się

www.yoursites123.com na Windows 10

Rekomendowane odpowiedzi

wieloryb

Odnośnik do komentarza

picasso

Odnośnik do komentarza

wieloryb

Odnośnik do komentarza

picasso

Odnośnik do komentarza

wieloryb

Odnośnik do komentarza

picasso

Odnośnik do komentarza

wieloryb

Odnośnik do komentarza

picasso

Odnośnik do komentarza

wieloryb

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność