Złośliwe oprogramowanie - przekierowania yoursites123.com

[Pawel7]

Przy włączaniu strony www. przekierowuje mnie na "yoursites123", jak to usunąć?

Proszę bardzo o pomoc.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Posty połączyłam, logi uzupełnione. Nie edytuj pierwszego posta, odpowiadasz mi już w nowym.

 

Akcje do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 IhPul; C:\Users\Pawel\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: )
R2 WdMan; C:\ProgramData\rWdMr\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
ShortcutWithArgument: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC 
ShortcutWithArgument: C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC 
ShortcutWithArgument: C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC 
Edge HomeButtonPage: HKU\S-1-5-21-146596287-35509435-1045254187-1001 -> hxxp://www.delta-homes.com/?type=hp&ts=1444728147&z=b324f567ebd54bef6b8468fg5z6z1z7m9o4bag1w0e&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC
StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447147134&z=48c0fb04382d2d6d91d67fbg8zfz6mcg3z9meg0cam&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447147134&z=48c0fb04382d2d6d91d67fbg8zfz6mcg3z9meg0cam&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447147134&z=48c0fb04382d2d6d91d67fbg8zfz6mcg3z9meg0cam&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447147134&z=48c0fb04382d2d6d91d67fbg8zfz6mcg3z9meg0cam&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms}
HKU\S-1-5-21-146596287-35509435-1045254187-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1448365998&z=b3d54bf9715e48f1c2f5bb5g1z4zfb1c2q3qae6e6g&from=ient07031&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms}
HKU\S-1-5-21-146596287-35509435-1045254187-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC
HKU\S-1-5-21-146596287-35509435-1045254187-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448365998&z=b3d54bf9715e48f1c2f5bb5g1z4zfb1c2q3qae6e6g&from=ient07031&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-146596287-35509435-1045254187-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms}
HKLM-x32\...\Run: [] => [X]
Task: {18FF97B4-BC3D-4D8D-81CC-42BDFC60ADEB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {1C1C2548-5703-4EA5-B792-63DE8AE689A5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {3D63C834-A09A-40C3-98AC-AAA9DB7A92E2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {3DB82585-FD77-46D3-866E-A67E4B98223D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {53B60FF0-89DC-48DD-BAE3-7A41A2BCCB8B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {5D09BE28-548F-49AE-A7FC-B7CB5F15E397} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {64070D48-615A-4E4D-8BE0-12DE5A89A379} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {7C017319-A8E5-41C9-9163-E3FF6E3D7DC6} - System32\Tasks\Opera scheduled Autoupdate 1443548199 => C:\Program Files (x86)\Opera\launcher.exe
Task: {7E668E88-CF9A-4D1D-A029-DBC061CD518B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {9FB6D558-9EAA-4AA5-BB2C-C087FBE58DD4} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {C1E801CC-85A4-42B4-A111-CC38114C45FD} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {D853FF5C-D241-4D6B-B002-DADDE10856AB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {E3CCA863-B7E6-41C1-AF5E-3C4FBD5BA448} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {E5D15AA9-90C7-434A-BDB0-1F8EAB8FD582} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe
C:\Program Files (x86)\Google
C:\Program Files (x86)\SFK
C:\Program Files (x86)\WinZipper
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\2WMiniPro2
C:\ProgramData\pWMiniProp
C:\ProgramData\rWdMr
C:\ProgramData\XWdMX
C:\ProgramData\Microsoft\Windows\GameExplorer\{B0019ED2-40D2-406A-AF66-6B67AC75B858}
C:\Users\Pawel\AppData\Local\Google
C:\Users\Pawel\AppData\Roaming\TSv
C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk
C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa (2).lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Uruchom Zoek. W oknie wklej:

 

Metric Collection SDK 35;u

 

Klik w Run Script. Zmień rozszerzenie wynikowego pliku na zoek-results.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i zoek-results.txt. Potwierdź ustąpienie problemów.

[Pawel7]

Problem ustąpił MEGA DZIĘKI:-),nie mogę dodać tego pliku zoek-results.log,cos mam zmienić?

FRST.txt

Fixlog.txt

Addition.txt

[picasso]

czarnewrony

 

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze tematy. Temat wydzielony tu: KLIK.

 

 

Pawel7

 

W eksploratorze Windows menu Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > odznacz Ukryj rozszerzenia znanych plików, a będziesz w stanie zmienić ręcznie nazwę pliku.

[Pawel7]

Spoko udało się...przesyłam brakujący plik:)

zoek-results.txt

[picasso]

Wszystko pomyślnie wykonane i infekcja wyleczona. Teraz jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[Pawel7]

Ok gotowe..troche czasu mi to zajmuje ponieważ inne sprawy mnie pochłonęły.

AdwCleanerS2.txt

[picasso]

Poprawki. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKCU\Software\V9
DeleteKey: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\delta-homes.com
DeleteKey: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.delta-homes.com
DeleteKey: HKCU\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\delta-homes.com
DeleteKey: HKCU\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.delta-homes.com
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
DeleteKey: HKLM\SOFTWARE\Wow6432Node\delta-homesSoftware
DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode
DeleteKey: HKLM\SOFTWARE\Wow6432Node\omniboxesSoftware
DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv
DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9
DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files\KMSpico
RemoveDirectory: C:\ProgramData\8WdsManPro8
RemoveDirectory: C:\ProgramData\SWdsManProS
RemoveDirectory: C:\Users\Pawel\AppData\Roaming\WinZipper
RemoveDirectory: C:\Windows\system32\log
RemoveDirectory: C:\Windows\system32\Tasks\Lenovo
RemoveDirectory: C:\zoek_backup

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi potrzebne.

[Pawel7]

Gotowe.

Fixlog.txt

[picasso]

Fix wykonany. Kończymy:

 

Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK.

[Pawel7]

Zrobione!!Jak mogę się odwdzieczyc???

Na pewno z miejsca mogę bardzo podziękować no i ogólnie będę polecał..każdemu!!

[picasso]

Temat rozwiązany. Zamykam.

 

Co do odwdzięczania się, to możesz wspomóc mój serwis przez dotację (link w sygnaturze). Oczywiście nie jest to obligatoryjne.