x-kom hosting

yoursites123 - prośba o pomoc w usunięciu

dam1983
utworzono
utworzono

Witam,

Jak w temacie. Będę bardzo wdzięczny za pomoc w odinstalowaniu tego czegoś!!!

W załączniku potrzebne logi

[attachment=46659:AdwCleanerC1.txt]

[attachment=46660:AdwCleanerS1.txt]

[attachment=46661:FRST_09-01-2016_22-52-45.txt]

[attachment=46662:Addition_09-01-2016_22-52-45.txt]

Twój_Anioł_Stróż
komentarz
komentarz

[-] Plik usunięto : C:\Users\Damian\Documents\IR IWONA RAKOCZY - CEIDG.pdf

[-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - dra 08.2014.jpg
[-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - dra 09.2014.jpg
[-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - dra 10.2014.jpg
[-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - dra 11.2014.jpg
[-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - dra 12.2014.jpg
[-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - vat7 07.2014.pdf
[-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - vat7 08.2014.pdf
[-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - vat7 09.2014.pdf
[-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - vat7 10.2014.pdf
[-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - vat7 11.2014.pdf
[-] Plik usunięto : C:\Users\Damian\Documents\Iwonex - vat7 12.2014.pdf

Z nieznanego mi powodu Adw-Cleaner usunął pliki, które wyglądają na Twoje.

Jeśli chcesz je odzyskać, to wyciągnij je z Kwarantanny Adw-Cleaner (chyba trzeba przy tym usuwać z ich nazwy przyrostek *.vir)

Kwarantanna Adw-Cleanera jest w folderze C:\AdwCleaner (albo w C:\Users\Damian\Downloads).

 

Otwórz Notatnik i wklej w nim:

c:\programdata\{3ca27b95-e507-e41c-3ca2-27b95e50ee57}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1451292593&z=13c090d4d50a796e70392c5g2z3w8gbo6t3oeqee6z&from=wpm12253&uid=TOSHIBAXMK5061GSY_51QIP0LSTXX51QIP0LST&q={searchTerms}
Edge HomeButtonPage: HKU\S-1-5-21-41493053-3958052129-3170778977-1000 -> hxxp://www.yoursites123.com/?type=hp&ts=1449649639&z=aa04fad3b36df64ddb22e5cgdz4z7t9q5z6t4q3wag&from=ient07021&uid=TOSHIBAXMK5061GSY_51QIP0LSTXX51QIP0LST
FF DefaultSearchEngine: yoursites123
FF SearchPlugin: C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\apw7mhqy.default\searchplugins\yoursites123.xml [2015-12-28]
CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Damian\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => Brak pliku
Task: {092AB363-CEC4-4274-89DB-1EF5FE18DE91} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {2DA52896-FF04-499D-BFCE-1120D76B4B42} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {3A472604-5A75-463B-A67C-F69BE6FF8412} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {3B8C820E-3F0A-43BA-8806-C524564AB1BF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {3BBD952A-5D69-46FD-99FC-681DD4D92F84} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {4438BF3E-0604-4AC5-8071-B249B04EE327} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {7ADDCDA3-96C2-4A6F-BDB8-5FC788552A0F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {AEEFA26C-2C5A-4238-B619-AC4E9F962EC4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {BD720BEF-A34C-4FB6-91E8-958490A472F4} - System32\Tasks\SlideLayer => c:\programdata\{3ca27b95-e507-e41c-3ca2-27b95e50ee57}\adobeacrobatdc2015fullcrack.exe-1437728708231.exe <==== UWAGA
Task: {C6D9BDE4-D9A0-4038-9F2B-210756D77656} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {CCB7C434-6B59-46A5-B2EB-7A343558CA96} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {D290B9E9-4759-478B-80A5-7F22A1DC78D6} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
HKLM-x32\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  Brak pliku
ShellIconOverlayIdentifiers-x32: [proDyskSynchronizationPending] -> {693019C1-AA17-44E9-A9AE-DD21AD66D2F5} => C:\Program Files (x86)\proDysk\\1.0.0.11132\IB24VirtualDrive.dll Brak pliku
ShellIconOverlayIdentifiers-x32: [proDyskSynchronized] -> {693019C1-AA17-44E9-A9AE-DD21AD66D2F4} => C:\Program Files (x86)\proDysk\\1.0.0.11132\IB24VirtualDrive.dll Brak pliku
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
SearchScopes: HKU\S-1-5-21-41493053-3958052129-3170778977-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-41493053-3958052129-3170778977-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Extension: bestadblocker - C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\apw7mhqy.default\Extensions\5@WJXkC.com [2015-08-25] [Brak podpisu cyfrowego]
FF Extension: CutTThEPoricce - C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\apw7mhqy.default\Extensions\D3Rs@bM0pPm8.org [2015-08-25] [Brak podpisu cyfrowego]
FF Extension: CuutThePricE - C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\apw7mhqy.default\Extensions\hY2i8B@C.edu [2015-08-25] [Brak podpisu cyfrowego]
FF Extension: CCuetTHePriCe - C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\apw7mhqy.default\Extensions\uU2eXcXz@HQ.org [2015-08-25] [Brak podpisu cyfrowego]
C:\WINDOWS\SysWOW64\pl.html
EmptyTemp:

Plik zapisz pod nazwą [b]fixlist.txt[/b] i umieść obok FRST.exe
Uruchom [b]FRST[/b] i kliknij przycisk [b]Fix[/b] (NAPRAW).

.
dam1983
komentarz
komentarz

Zrobiłem tak jak napisałeś, ale nie wiem dlaczego zadziałało tylko na przeglądarki Chrome, Firefox i IE, a na Edge przy pierwszym uruchomieniu znowu pojawiła się strona yoursites123, ale na szczęście już nie tak natrętna, bo po zmianie strony startowej uruchamia się już tylko ta moja (wcześniej nie dało się zmienić strony startowej).

fixlist.txt zapisałem w folderze "Pobrane" bo tam mam FRST.exe. Chyba że powinienem to zapisać w folderze FRST, który utworzył się na dysku C (tam m.in. zapisują się logi)?

Już po samym AdwCleaner (użyłem przed FRST) Chrom i Firefox się wyczyściły, a Edge nadal było zainfekowane.

Załaczam fixlog z naprawy FRST

[attachment=46683:Fixlog_10-01-2016_12-04-54.txt]


Aha, także zauważyłem, że AdwCleaner wyszukał mi do usunięcia ponad 20 moich plików, ale na szczęście zorientowałem się i przed usunieciem odznaczyłem te które potrzebuję. Było ich więcej, a te które wymieniłeś nie są już potrzebne, więc nie odznaczałem ich.

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

Z EDGE często jest problem w usunięciu tego "yoursites123".

 

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

 

yoursites123

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

.

dam1983
komentarz
komentarz

Raport Search poniżej

[attachment=46688:Search.txt]

 

Twój_Anioł_Stróż
komentarz
komentarz

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000\SOFTWARE\Microsoft\Internet Explorer\DOMStorage\yoursites123.com]

[-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com]

[-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com]

[-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com]

[-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com]

[-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com]

[-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com]

[-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com]

[-HKEY_USERS\S-1-5-21-41493053-3958052129-3170778977-1000_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com]
Z Menu Notatnika >> [b]Plik[/b] >> [b]Zapisz jako[/b] >> Ustaw rozszerzenie na [b]Wszystkie pliki[/b] >> [b]Zapisz jako[/b]> [b][color=red]FIX.REG [/color][/b]>>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.

.

dam1983
komentarz
komentarz

Ok, chyba pomogło :)

Po ponownym przeszukaniu rejestru już nie ma śladu po yoursites123.

Dzięki wielkie!

Czy konieczne są jeszcze jakieś kroki na koniec? np. odinstaluj AdwCleaner? Przy niektórych podobnych tematach jest jeszcze:

----------------------
Jeśli będzie OK, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:

Cytuj

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

Twój_Anioł_Stróż
komentarz
komentarz

tak, zrób te kroki końcowe.

.

dam1983
komentarz
komentarz

Ok, to chyba wszystko.

Jeszcze raz dzięki! :)

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.