Yoursites123

ala1 · 10 Grudnia 2015

Proszę o pomoc:

picasso · 10 Grudnia 2015

Był tu w obrotach szkodliwy "Asystent pobierania" dobrychprogramów, o czym świadczy plik w katalogu Temp. Na temat "Asystentów": KLIK. Działania do wdrożenia:

1. Odinstaluj starą wersję Adobe Flash Player 18 NPAPI.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 
ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 
ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 
ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 
ShortcutWithArgument: C:\Users\szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms}
HKU\S-1-5-21-1299410582-2055644840-134518843-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178
HKU\S-1-5-21-1299410582-2055644840-134518843-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1299410582-2055644840-134518843-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1448999602&z=2a7f9ddf70c79c6ea490f7eg7zfz5bbtdt5tfm2w4e&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178
CHR HomePage: Default -> hxxp://www.istartpageing.com/?type=hp&ts=1448999602&z=2a7f9ddf70c79c6ea490f7eg7zfz5bbtdt5tfm2w4e&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178
CHR StartupUrls: Default -> "hxxp://www.istartpageing.com/?type=hp&ts=1448999602&z=2a7f9ddf70c79c6ea490f7eg7zfz5bbtdt5tfm2w4e&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178"
CHR Session Restore: Default -> [funkcja włączona]
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\szekla\AppData\Roaming\Mozilla\Firefox\Profiles\e7glssvj.default\extensions\deskCutv2@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\szekla\AppData\Roaming\Mozilla\Firefox\Profiles\e7glssvj.default\extensions\yahooprotected@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\szekla\AppData\Roaming\Mozilla\Firefox\Profiles\e7glssvj.default\extensions\default_newtabff@gmail.com => nie znaleziono
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449647965&z=f185757247dc29acc749ba0g2z4z1tbqez9b1gcgfb&from=ient07021&uid=ST1000LM024XHN-M101MBB_S30YJ9BG165178
Task: {088ECF11-4F18-456B-93C5-4255F2177782} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-02] (Lenovo)
HKLM\...\Run: [LenovoUtility] => "C:\Program Files\Lenovo\LenovoUtility\utility.exe"
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartpageing uninstall
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
RemoveDirectory: C:\ProgramData\8WdM8
RemoveDirectory: C:\ProgramData\8WMiniPro8
RemoveDirectory: C:\ProgramData\JWdMJ
RemoveDirectory: C:\Users\szekla\AppData\Roaming\istartpageing
RemoveDirectory: C:\Users\szekla\Desktop\Stare dane programu Firefox
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Users\szekla\AppData\Local\Google\Chrome\User Data\Default\Web Data
C:\Windows\SysWOW64\pl.html
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Firefox był co dopiero resetowany. Jeszcze Google Chrome:

Zresetuj synchronizację (o ile włączona): KLIK.
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

ala1 · 11 Grudnia 2015

Zrobione

Addition.txt

FRST.txt

Fixlog.txt

picasso · 11 Grudnia 2015

Wszystko pomyślnie wykonane. Problem powinien ustąpić. Ale jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

ala1 · 11 Grudnia 2015

Bardzo proszę:

AdwCleanerS1.txt

picasso · 11 Grudnia 2015

Czy na pewno został wykonany wcześniej ten krok w Google Chrome:

Zresetuj synchronizację (o ile włączona): KLIK.

Chodziło o Opcję 2. Wprawdzie niby wpisy adware już nie były widoczne poprzednio w nowym skanie FRST, a tu raptem AdwCleaner znów je pokazuje. Wnioski: wracają z serwera Google.

ala1 · 12 Grudnia 2015

Zresetowałam synchronizacje w Google Chrome

AdwCleanerS3.txt

picasso · 12 Grudnia 2015

Wyniki są nadal identyczne.

1. W Google Chrome:

- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień.

- Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarki istartpageing, mkv-player.softonic.pl.

2. Otwórz Notatnik i wklej w nim:

DeleteKey: HKCU\Software\Mozilla\Extends
DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode
DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp
DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartpageingSoftware
DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro
RemoveDirectory: C:\FRST\Quarantine

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

3. Po akcji zrób nowy skan AdwCleaner i przedstaw wyniki.

ala1 · 13 Grudnia 2015

Zrobione.

AdwCleanerS4.txt

Fixlog.txt

picasso · 13 Grudnia 2015

1. AdwCleaner nadal widzi te same wpisy. Skoro reset Google Chrome tego nie likwiduje, zrób inną kombinację w Google Chrome: menu Ustawienia > Ustawienia > Osoby > załóż nowy czysty profil i się na niego zaloguj, a poprzedni skasuj.

2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK.

3. Przez SHIFT+DEL (omija Kosz) usuń z Pulpitu foldery FRST. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

To tyle z mojej strony.

ala1 · 14 Grudnia 2015

Wielkie dzięki, jak mogę się odwdzięczyć?

picasso · 14 Grudnia 2015

Można wspomóc mój serwer przesyłając dotację. Link w mojej sygnaturze. Z góry dzięki za ewentualne wsparcie mojej działalności.

Temat rozwiązany. Zamykam.

Zaloguj się

Yoursites123

Rekomendowane odpowiedzi

ala1

Odnośnik do komentarza

picasso

Odnośnik do komentarza

ala1

Odnośnik do komentarza

picasso

Odnośnik do komentarza

ala1

Odnośnik do komentarza

picasso

Odnośnik do komentarza

ala1

Odnośnik do komentarza

picasso

Odnośnik do komentarza

ala1

Odnośnik do komentarza

picasso

Odnośnik do komentarza

ala1

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność