Problem z yoursites123.com

[czarnewrony]

Mam dokładnie ten sam problem z yoursites123. Dodatkowo nie jestem w stanie otworzyć FRST. Proszę o pomoc, jestem totalnie zielona w temacie komputerów, a chciałabym uniknąć formata. Win 8.1, laptop Samsung

[picasso]

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze tematy. Wydzieliłam temat. Wymagane są też oczywiście logi:

 

Dodatkowo nie jestem w stanie otworzyć FRST.

Nie jest powiedziane na czym to konkretnie polega. Sugestie:

- Wyłącz program antywirusowy na czas pobierania i uruchamiania FRST.

- Zmień nazwę pobranego pliku FRST na dowolną inną i spróbuj program uruchomić.

[czarnewrony]

pomogła zmiana nazwy, dzięki. wrzucam logi

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Posty posprzątałam, nieodpowiednie logi usunięte. Nie sądzę, że zmiana nazwy FRST ma coś do rzeczy, bo w raporcie nie ma oznak infekcji blokującej FRST po nazwie. Moim zdaniem blokuje FRST Avast.

 

Operacje do przeprowadzenia:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Java 7 Update 51 (64-bit), Java 7 Update 65.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 WdMan; C:\ProgramData\5WdM5\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin 2\Uruchom Wiedźmin 2.lnk -> C:\Program Files (x86)\Wiedźmin 2\Launcher.exe (CD Projekt RED) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
ShortcutWithArgument: C:\Users\Basia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
ShortcutWithArgument: C:\Users\Public\Desktop\Uruchom Wiedźmin 2.lnk -> C:\Program Files (x86)\Wiedźmin 2\Launcher.exe (CD Projekt RED) -> hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
StartMenuInternet: Google Chrome - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://www.yoursites123.com/?type=sc&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms}
HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms}
HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006
HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194
HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449661578&z=426b32eabd5742867a17853gaz9zft8q7qageweb3w&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC705194&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004 -> {C1C553CA-F960-45C7-A40F-724182852F6C} URL =
SearchScopes: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [2014-08-04]
CHR HKLM-x32\...\Chrome\Extension: [jofdlbdmefjogcipddjnblinigmpagoj] - C:\Program Files (x86)\Lyrmix\Chrome.crx 
CustomCLSID: HKU\S-1-5-21-1596478717-3378438385-2532408222-1004_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Basia\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\...\MountPoints2: {79b77b12-5a95-11e2-be90-50b7c324289a} - "E:\LaunchU3.exe" -a
HKU\S-1-5-21-1596478717-3378438385-2532408222-1004\Control Panel\Desktop\\SCRNSAVE.EXE ->
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
C:\ProgramData\5WdM5
C:\ProgramData\yWdMy
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldUnlock Calculator
C:\Users\Basia\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk
C:\Users\Basia\Documents\instalki\Office 2010 dla Uytkownikw Domowych i Maych Firm Trial_1357480952345.lnk
C:\Users\Basia\Documents\instalki\Microsoft Download Manager_1357479905269.lnk
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Nikon Message Center 2" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "QuickTime Task" /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

[czarnewrony]

jest

FRST.txt

Addition.txt

Fixlog.txt

[picasso]

Wszystko zrobione. Problem powinien być rozwiązany. Ostatni skrypt poprawkowy do FRST. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe logi niesą mi już potrzebne.

[czarnewrony]

zrobione

Fixlog.txt

[picasso]

Na koniec skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

To tyle z mojej strony.

[czarnewrony]

bardzo dziękuję

 

czyszczenie zrobione, a DelFix.txt nie chce się dodać jako załącznik - Wysyłanie ominięte (nie wybrano pliku do importu)
wkleić tutaj tekst z notatnika?

[picasso]

Tak, log DelFix jest krótki, więc wklej go po prostu do posta.

[czarnewrony]

# DelFix v1.011 - Logfile created 09/12/2015 at 23:22:20

# Updated 18/08/2015 by Xplode

# Username : Basia - CHAOS

# Operating System : Windows 8.1  (64 bits)

 

~ Removing disinfection tools ...

 

Deleted : C:\FRST

Deleted : C:\Users\Basia\Downloads\Addition.txt

Deleted : C:\Users\Basia\Downloads\Fixlog.txt

Deleted : C:\Users\Basia\Downloads\FRST.txt

Deleted : C:\Users\Basia\Downloads\Shortcut.txt

Deleted : HKLM\SOFTWARE\AdwCleaner

 

########## - EOF - ##########

[picasso]

DelFix wykonał operację. Skasuj z dysku plik C:\delfix.txt.

[czarnewrony]

zrobione