yoursites123 malware

[Zuzia]

Mam problem, strona sama się uruchamia przy starcie przeglądarki, ponownie jak kilku innym osobom na tym forum. Załączam logi.

 

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Operacje do wdrożenia:

 

1. Deinstalacje zbędników:

- Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Amazon 1Button App, Host App Service, Lenovo Experience Improvement, SHAREit (jeśli nie korzystasz), Start Menu. Host App Service + Start Menu to wątpliwej reputacji aplikacje Pokki integrowane na Lenovo, które zresztą już wyglądają na naruszone jakimś działaniem.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 IhPul; C:\Users\Zuzanna\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: )
R2 WdMan; C:\ProgramData\tWdMt\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
S1 wfdrvr_vw_1_10_0_28; system32\drivers\wfdrvr_vw_1_10_0_28.sys [X]
ShortcutWithArgument: C:\Users\Zuzanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 
ShortcutWithArgument: C:\Users\Zuzanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 
ShortcutWithArgument: C:\Users\Zuzanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447961168&z=acdbe4dd161e92fa45b4404g2z9z0mctbqbe9b3w3b&from=cor&uid=KINGSTONXSV300S37A240G_50026B775708A5F4
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449659058&z=3df4eaf379b008bea0941c0g0z4z3t5q9w1tdebw5w&from=ient07021&uid=KINGSTONXSV300S37A240G_50026B775708A5F4
FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Zuzanna\AppData\Roaming\Mozilla\Firefox\Profiles\bnqkxdrh.default\extensions\defsearchp@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Zuzanna\AppData\Roaming\Mozilla\Firefox\Profiles\bnqkxdrh.default\extensions\deskCutv2@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Zuzanna\AppData\Roaming\Mozilla\Firefox\Profiles\bnqkxdrh.default\extensions\default_newtabff@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Zuzanna\AppData\Roaming\Mozilla\Firefox\Profiles\bnqkxdrh.default\extensions\yahooprotected@gmail.com => nie znaleziono
HKU\S-1-5-21-1379735399-1450969573-2400207767-1001\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-1379735399-1450969573-2400207767-1001\...\Policies\Explorer: []
CustomCLSID: HKU\S-1-5-21-1379735399-1450969573-2400207767-1001_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1379735399-1450969573-2400207767-1001_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1379735399-1450969573-2400207767-1001_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll => Brak pliku
Task: {7D687F2C-6642-40D5-9306-704222F4CF50} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe
C:\Program Files (x86)\SFK
C:\Program Files (x86)\WordFly_1.10.0.28
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\9WMiniPro9
C:\ProgramData\Pokki
C:\ProgramData\tWdMt
C:\ProgramData\vWdMv
C:\Users\Zuzanna\AppData\Local\SweetLabs App Platform
C:\Users\Zuzanna\AppData\Roaming\TSv
C:\Users\Zuzanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[Zuzia]

Pomogło Dziękuję bardzo za pomoc.

Addition.txt

FRST.txt

Fixlog.txt

[picasso]

Wszystko zrobione, hijacker usunięty. Teraz drobne poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

(Amazon Inc.) C:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe
R2 Amazon 1Button App Service; C:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe [456000 2015-09-17] (Amazon Inc.)
IE trusted site: HKU\.DEFAULT\...\amazon.com -> amazon.com
IE trusted site: HKU\S-1-5-21-1379735399-1450969573-2400207767-1001\...\amazon.com -> amazon.com
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
CMD: del /q C:\Users\Zuzanna\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\Program Files (x86)\Amazon
RemoveDirectory: C:\Users\Zuzanna\Desktop\Stare dane programu Firefox

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Powstanie kolejny fixlog.txt. Przedstaw go.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[Zuzia]

Proszę

AdwCleanerS1.txt

Fixlog.txt

[picasso]

Drobna poprawka. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKCU\Software\Mozilla\Extends
DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp
DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode
DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware
DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv
DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[Zuzia]

Proszę

Fixlog.txt

[picasso]

Wszystko zrobione. Kończymy:

 

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Materiał edukacyjny, by uniknąć podobnych problemów w przyszłości: KLIK.

[Zuzia]

Bardzo serdecznie dziękuję za pomoc