Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

yoursites123, picexa i inne ustrojstwa

mechusar

Przez mechusar
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

mechusar

mechusar

Opublikowano
Opublikowano

Witajcie po dłuższej nieobecności,

 

tradycyjnie gorąca prośba o pomoc - tym razem z dziadostwem wymienionym w nazwie tematu.

 

Od jakiegoś czasu zmienia mi się strona startowa - jakiś czas temu na mysearch123, teraz na yoursites123. Dodatkowo samoczynnie instaluje się program Picexa.

Próbowałem usuwać własnoręcznie, ale każdorazowo po kilku dniach problem pojawia się na nowo.

 

Załączam logi.

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Nie tylko adware jest w systemie, ale także BitCoin Miner (update.vbe w folderze Origin). Działania do przeprowadzenia:

 

1. Deinstalacje:

- Odinstaluj stare wersje oraz adware: Ad-Aware, Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Flash Player 16 NPAPI, Adobe Reader 9.5.1, Java 7 Update 60, Java™ 6 Update 31, Picexa, Windows Media Player Firefox Plugin.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 IhPul; C:\Users\Marcin\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: )
R2 WdMan; C:\ProgramData\SWdMS\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
S2 TBPanel; Brak ImagePath
S4 sptd; System32\Drivers\sptd.sys [X]
ShortcutWithArgument: C:\Users\Marcin\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 
ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 
ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 
ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 
ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 
ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (2).lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253 
CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253
CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253"
CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms}
CHR DefaultSearchKeyword: Default -> yoursites123
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447136116&z=6381d760cad6b18b89efae8gcz5z4mbgfc1qcg3g3m&from=wpm07163&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms}
HKU\S-1-5-21-783910324-3587200081-1645618152-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253
HKU\S-1-5-21-783910324-3587200081-1645618152-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448351647&z=b0424a5fa841dca3a0a899dgczez7b4c2w9gaq9z0t&from=ient07031&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253&q={searchTerms}
HKU\S-1-5-21-783910324-3587200081-1645618152-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-783910324-3587200081-1645618152-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-783910324-3587200081-1645618152-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445799323&z=0350992d013489d4ca88de5g5z6z9wcm8t1tfe6m3g&from=cor&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449644527&z=2a4c148a5c3dd69c919c8ccgaz3z5teqczfz1w7ocb&from=ient07021&uid=WDCXWD5000AAKS-00A7B2_WD-WCASZ028825388253
FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\trp6l1v0.default\extensions\defsearchp@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\trp6l1v0.default\extensions\deskCutv2@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\trp6l1v0.default\extensions\default_newtabff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\trp6l1v0.default\extensions\yahooprotected@gmail.com
HKU\S-1-5-21-783910324-3587200081-1645618152-1000\...\Run: [AdobeBridge] => [X]
BootExecute: autocheck autochk * lsdelete
Task: {0730D217-84E4-4D1A-AAF8-67CC1E444B46} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-pity2013\Assets\signxml.exe
Task: {1A875333-9F1C-4A6B-929E-AD835FD19B03} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-pity2013\Assets\signxml.exe
Task: {3099429E-146B-4237-8884-043496B23777} - System32\Tasks\{5ADAAAD2-826B-4360-9936-1F8FC9D6CB94} => pcalua.exe -a "D:\downloaded\Firefox Setup 3.5.2.exe" -d D:\downloaded
Task: {8185E9D9-3F14-4E4F-B463-D3330988B2C9} - System32\Tasks\{80B52C98-AF62-4CF9-8BD4-8472A535D106} => pcalua.exe -a "D:\downloaded\QuickTimeInstaller (1).exe" -d D:\downloaded
Task: {926FAB81-9338-4DDD-9DF3-E17E41A1E135} - System32\Tasks\Origin => C:\Users\Marcin\AppData\Roaming\Origin\update.vbe [2013-09-14] () 
Task: {BB923080-3E54-44A1-987F-B5EAECD48ED7} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo)
Task: {E0C48729-1B09-4A4A-9711-6F3FD6E1C054} - System32\Tasks\{A651A07A-7B58-4043-900E-D0DC605F2839} => pcalua.exe -a D:\downloaded\jre-6u25-windows-i586-iftw.exe -d D:\downloaded
Task: {F6E40269-4841-4ECF-B23C-13A30E7F0A22} - System32\Tasks\{BBECB86D-9273-4248-A35C-4A824E96D8BB} => pcalua.exe -a C:\Users\Marcin\Downloads\QuickTimeInstaller.exe -d C:\Users\Marcin\Downloads
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesHelper
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPDLR
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
C:\Program Files (x86)\Lenovo
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Program Files (x86)\Picexa
C:\Program Files (x86)\SFK
C:\Program Files (x86)\WinZipper
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\ywchkrhdsxpmnal
C:\ProgramData\nWMiniPron
C:\ProgramData\SWdMS
C:\ProgramData\ZWdMZ
C:\ProgramData\vWMiniProv
C:\ProgramData\XWMiniProX
C:\Users\Marcin\AppData\Local\Lenovo
C:\Users\Marcin\AppData\Roaming\Origin\update.vbe
C:\Users\Marcin\AppData\Roaming\TSv
C:\Users\UpdatusUser\Desktop\SopCast.lnk
C:\Windows\temp023423.vbe
C:\Windows\System32\Tasks\Lenovo
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki z adware:

 

Firefox:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść całą historię przeglądania.
Google Chrome:
  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Deinstalacja Firefox nie usuwa jego profilu z dysku, pozostał z adware (gdybyś kiedyś instalował FF, załadowałoby się z tego profilu), więc trzeba będzie ręcznie doczyścić. Kolejna porcja zadań:

 

1. Otwórz Notatnik i wklej w nim:

 

S0 Lbd; system32\DRIVERS\Lbd.sys [X]
Task: {75946C06-EE6C-485D-A163-E97AD5035C75} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
BHO-x32: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\Program Files (x86)\Java
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox
RemoveDirectory: C:\ProgramData\Lavasoft
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
RemoveDirectory: C:\Users\Marcin\AppData\Local\Mozilla
RemoveDirectory: C:\Users\Marcin\AppData\Roaming\Mozilla

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Trochę się pośpieszyłeś z tymi nowymi instalacjami. Takie rzeczy robi się na szarym końcu, a tu nadal czyszczenie w toku. Kolejne poprawki:

 

Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKCU\Software\YahooPartnerToolbar
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8FFE}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\dt soft\daemon tools toolbar
DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp
DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode
DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware
DeleteKey: HKLM\SOFTWARE\Wow6432Node\omniboxesSoftware
DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv
DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9
DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{3D2C9DE6-9ADE-4252-A241-E43723B0CE02}
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro
RemoveDirectory: C:\ProgramData\pWdsManProp

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...