Przeglądarka "porwana" przez yoursites123

[wochen1]

Dzień dobry,

jak w temacie. komputer moich rodziców został zainfekowany. W każdej przeglądarce jak strona wyświetla się yorsites123.

Komputer został przeskanowany kilkoma programami anty spywareowymi i nic nie pomogło.

Widzę, że na komputerze jest także HiJack this, ale nie wiem czy  ktoś wcześniej próbował czegoś tym dokonać.

Załączam komplet wymaganych logów i proszę o pomoc.

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

[picasso]

Działania do wykonania:

 

1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej.

 

2. FRST uruchomiony z Tymczasowych plików internetowych:

 

Uruchomiony z C:\Users\user2\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0TFYC2LX

 

Pobierz ponownie i zapisz na Pulpice. Następnie otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
ShortcutWithArgument: C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449650906&z=0eaabbecbe620bbc363cedeg6zdz8t5qcwfect5e8z&from=ient07021&uid=WDCXWD3200BEKT-75PVMT1_WD-WX31A53F5527F5527 
ShortcutWithArgument: C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft WSE 3.0\WSE on the Web.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449650906&z=0eaabbecbe620bbc363cedeg6zdz8t5qcwfect5e8z&from=ient07021&uid=WDCXWD3200BEKT-75PVMT1_WD-WX31A53F5527F5527 
ShortcutWithArgument: C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449650906&z=0eaabbecbe620bbc363cedeg6zdz8t5qcwfect5e8z&from=ient07021&uid=WDCXWD3200BEKT-75PVMT1_WD-WX31A53F5527F5527 
ShortcutWithArgument: C:\Users\user2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449650906&z=0eaabbecbe620bbc363cedeg6zdz8t5qcwfect5e8z&from=ient07021&uid=WDCXWD3200BEKT-75PVMT1_WD-WX31A53F5527F5527 
ShortcutWithArgument: C:\Users\user2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449650906&z=0eaabbecbe620bbc363cedeg6zdz8t5qcwfect5e8z&from=ient07021&uid=WDCXWD3200BEKT-75PVMT1_WD-WX31A53F5527F5527 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-350388361-695255728-3904762994-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-350388361-695255728-3904762994-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
Task: {1E889520-1AE1-4D9A-891A-B91379A585D1} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Brak pliku 
Task: {224AC995-54FE-4999-97E3-1E50CD6151CB} - \Inst_Rep -> Brak pliku 
Task: {752379F0-2592-415A-8091-28C9311D567F} - \SmartWeb Upgrade Trigger Task -> Brak pliku 
Task: {9365FD10-232F-4C1F-9CD9-4ADBC83800A8} - \SwiftSearch Auto Updater 1.10.0.25 Core -> Brak pliku 
Task: {A4938B02-BF5E-4725-A141-D864AE624587} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo)
Task: {F9875FA4-AFD0-4CF1-9CF5-8403D2C3BF6A} - \ShopperProJSUpd -> Brak pliku 
Task: {FA251AA4-0385-4AFD-98E3-6F2644CD2A05} - System32\Tasks\Bx72lxMv8LJUF9 => C:\Users\user2\AppData\Roaming\Bx72lxMv8LJUF9.exe 
Task: C:\Windows\Tasks\Bx72lxMv8LJUF9.job => C:\Users\user2\AppData\Roaming\Bx72lxMv8LJUF9.exe 
CustomCLSID: HKU\S-1-5-21-350388361-695255728-3904762994-1001_Classes\CLSID\{D166BD15-03AF-413A-BEFD-0679FF410B49}\InprocServer32 -> C:\Users\user2\AppData\Local\Dropbox\Update\1.3.27.29\psuser.dll => Brak pliku
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-12-09] ()
S2 WdMan; C:\ProgramData\UWdMU\WdMan.exe -svr [X]
S3 catchme; \??\C:\Users\user2\AppData\Local\Temp\catchme.sys [X]
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\mozilla.org
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
DeleteKey: HKLM\SOFTWARE\yoursites123Software
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files\Lenovo
RemoveDirectory: C:\Program Files\Mozilla Firefox
RemoveDirectory: C:\Users\user2\AppData\Local\Lenovo
RemoveDirectory: C:\Users\user2\AppData\Local\Mozilla
RemoveDirectory: C:\Users\user2\AppData\Roaming\Mozilla
RemoveDirectory: C:\Windows\System32\Tasks\Lenovo
CMD: del /q C:\Windows\system32\Drivers\EsgScanner.sys
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

[wochen1]

Dzień dobry,

wygląda na to, że problem ustąpił.

Dołączam logi.

W którym momencie mogę zastosować procedurę po skanowaniu przez gmer (zdaję się, że trochę dłużej się uruchamia)?

 

Addition.txt

FRST.txt

Fixlog.txt

[picasso]

Procedura sprawdzania stanu transferu dysku po skanie GMER może być przeprowadzona w dowolnym momencie. Ale jakoś wątpię, by tu był problem tego typu, gdyż jest Windows 7, a opisywany stan to "trochę dłużej". Przy zdegradowabym transferze nie chodzi o "trochę", start wydłuża się o wiele minut (np. 5). Jeśli teraz notujesz wydłużenie startu, to prędzej podejrzane świeże instalacje programów zabezpieczających, tzn. Anvi Smart Defender, który jest skombinowany z Microsoft Security Essentials.

 

Wszystko zrobione. Kończymy:

 

1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK.

 

2. Przez SHIFT+DEL (omija Kosz) skasuj folder deinstalatora Microsoftu C:\MATS + z Pobranych folder backups utworzony przez HijackThis. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. Rodzicom podsunąć ten mateiał prewencyjny do czytania: KLIK.

[wochen1]

Bardzo dziękuję za pomoc. Serdecznie pozdrawiam.

DelFix.txt

[picasso]

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt.

 

Temat rozwiązany. Zamykam.