Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

yoursites123

Arg

Przez Arg
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Arg

Arg

Opublikowano
Opublikowano

Witam,

U rodziców na komputerze pojawił się problem z yoursites123. Wiadomo coś o tym, skąd się bierze i jak się uchronić? Rodzice korzystają z allegro i portali informacyjnych, jakieś przepisy kulinarne raczej mało groźne strony.

 

Poniżej logi. Dzięki za pomoc.

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Ten typ adware powinien mieć jedno z tych źródeł: KLIK.

 

Operacje do przeprowadzenia:

 

1. Przez Dodaj/Usuń programy odinstaluj wersję naruszającą bezpieczeństwo: Java™ SE Runtime Environment 6.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\5WdM5\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
S2 tor; "C:\Program Files\Tor\tor.exe" --nt-service "-ControlPort" "9051" [X]
S4 vToolbarUpdater13.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [X]
R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [26984 2012-11-05] (AVG Technologies)
S3 catchme; \??\C:\DOCUME~1\user\USTAWI~1\Temp\catchme.sys [X]
S3 cpuz134; \??\C:\DOCUME~1\user\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys [X]
S3 cpuz136; \??\C:\DOCUME~1\user\USTAWI~1\Temp\cpuz136\cpuz136_x32.sys [X]
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
S1 wafd_vt_1_10_0_20; system32\drivers\wafd_vt_1_10_0_20.sys [X]
S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X]
ShortcutWithArgument: C:\Documents and Settings\user\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B 
ShortcutWithArgument: C:\Documents and Settings\user\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B 
ShortcutWithArgument: C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B 
ShortcutWithArgument: C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B 
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B 
ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2937
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q=
HKU\S-1-5-21-1757981266-562591055-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-1757981266-562591055-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://newtab.certified-toolbar.com/nie?si=41460&tid=2937&new=true" 
HKU\S-1-5-21-1757981266-562591055-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" 
FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation)
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5b03bf19-4cf9-43b8-93d4-8e2cca96067b}_is1
DeleteKey: HKLM\SOFTWARE\yoursites123Software
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Photos Backup
DeleteKey: HKU\S-1-5-18\Software\MozillaPlugins
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\2WMiniPro2
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\5WdM5
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\iWdMi
RemoveDirectory: C:\Documents and Settings\user\Pulpit\Stare dane programu Firefox
RemoveDirectory: C:\Program Files\Mozilla Firefox\extensions
RemoveDirectory: C:\Qoobox
RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
RemoveDirectory: C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google
RemoveDirectory: C:\WINDOWS\system32\drivers\avgtpx86.sys
C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Apetito.lnk
C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Wyszukiwarka.lnk
C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job
CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.
  • Menu Historia > Wyczyść całą historię przeglądania.
4. Zainstaluj IE8, bo stary IE6 po prostu nie może zostać: KLIK.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Drobne poprawki:

 

1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1757981266-562591055-1801674531-1003\...\Run: [] => C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Default_Page_URL" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run /f
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\ComboFix
RemoveDirectory: C:\Documents and Settings\user\Pulpit\Stare dane programu Firefox
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\WINDOWS\erdnt
RemoveDirectory: C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Programs\Google
CMD: attrib /d /s -r -s -h C:\FOUND.*
CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...