yoursites123

[jf14]

Cześć,
również i ja mam problem z yoursites123. Wrzucam logi i proszę o pomoc!

Addition.txt

FRST.txt

[picasso]

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. W związku z tym sprawdzanie niepełne i na razie tylko to:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 WdMan; C:\ProgramData\ZWdMZ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
S3 PrintNotify; C:\Windows\system32\spool\drivers\x64\3\PrintConfig.dll [X]
ShortcutWithArgument: C:\Users\Użytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969 
ShortcutWithArgument: C:\Users\Użytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969 
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969&q={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969&q={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3743986464-4091518637-4251773603-1002 -> {A68C464B-3CC5-450D-AC4B-798EDA78107F} URL =
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449656769&z=22e29ed08820b4cce317107g5z5zct8q4w4q0m1m0e&from=ient07021&uid=SAMSUNGXSSDXPM851XMX2X2280X128GB_S1D2NYAG419969419969
Task: {076B7068-802E-4411-A2AB-04837C6054B8} - System32\Tasks\{68E393EB-2F96-4510-A58F-C68918B08BD9} => pcalua.exe -a C:\Users\Użytkownik\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor
Task: {FE882CAB-92A1-4608-8756-B53190134358} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-3743986464-4091518637-4251773603-1002Core => C:\Users\Użytkownik\AppData\Local\Google\Update\GoogleUpdate.exe
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:9695
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:9733
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:9831
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
RemoveDirectory: C:\ProgramData\UWdMU
RemoveDirectory: C:\ProgramData\ZWdMZ
CMD: del /q C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
CMD: del /q C:\ProgramData\lbogtyso.zat
CMD: del /q C:\ProgramData\mntemp
CMD: del /q C:\Users\Public\GROUP.dat
CMD: del /q C:\Windows\SysWOW64\pl.html
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition i Shortcut. Dołącz też plik fixlog.txt.

[jf14]

Hej, podrzucam pliki. Niestety yoursites123 nie zostało usunięte z IE

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[picasso]

Fix FRST w ogóle się nie wykonał. Tylko zabił procesy i w ogóle nie przeszedł dalej. Powtarzaj zadanie ze skryptem z poziomu Trybu awaryjnego Windows.

[jf14]

Hej, wykonane z poziomu Trybu awaryknego

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[picasso]

Tym razem poszło. Wszystko wykonane. Teraz jeszcze:

 

Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[jf14]

Log z Adwcleanera

AdwCleanerS1.txt

[picasso]

Poprawki:

 

1. W Google Chrome: stawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.

 

2. Otwórz Notatnik i wklej w nim:

 

Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\yoursites123.com
DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode
DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware
DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\ProgramData\yWMiniProy
RemoveDirectory: C:\Users\Użytkownik\AppData\Roaming\istartsurf
CMD: del /q C:\Users\Użytkownik\AppData\Local\LMIR0002*.*
CMD: del /q "C:\Users\Użytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk"
CMD: del /q "C:\Users\Użytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HP Remote Support*.lnk"
CMD: del /q "C:\Users\Użytkownik\Desktop\Dokumenty Kuby\STUDNIOWKA\Archiwum Mini.lnk"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[jf14]

Fixlog

Fixlog.txt

[picasso]

Kończymy:

 

1. Przez SHIFT+DEL (omija Kosz) usuń C:\Users\Użytkownik\Desktop\Dokumenty Kuby\Programy i instalki\FRST. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Do czytania na co uważać: KLIK.

[jf14]

Logi z Delfixa:

# DelFix v1.011 - Logfile created 13/12/2015 at 18:47:16

# Updated 18/08/2015 by Xplode

# Username : Użytkownik - LAPTOP

# Operating System : Windows 8.1 Pro  (64 bits)

 

~ Removing disinfection tools ...

 

Deleted : C:\FRST

Deleted : C:\AdwCleaner

Deleted : C:\Users\Użytkownik\Downloads\adwcleaner_5.025.exe

Deleted : HKLM\SOFTWARE\AdwCleaner

 

########## - EOF - ##########

[jf14]

Wydaje mi się, że już zakończyliśmy temat Yoursites, za co bardzo dziękuję!

 

Mam jeszcze jeden problem, choć nie jest on związany z wirusami. Mianowicie - nie mogę drukować nic ze swojego laptopa. Próbowałem instalować 3 drukarki HP i ani razu nie mogłem nic wydrukować. Pomoc ze strony HP, usuwanie folderów drukarek i ponowne instalowanie sterowników oraz sterowników alternatywnych nie pomogły.

Może spotkałaś się z podobnym przypadkiem kiedyś? Dodam, że strona testowa z poziomu drukarki wychodzi. Drukarka dostaje sygnał do Traya, po chwili plik znika, jakby się drukowało, jednak nic nie drukuje. 

[picasso]

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt.

 

Temat infekcji rozwiązany. Zamykam. A jeśli chodzi o problem drukarki, to załóż nowy temat w dziale bardziej do tego dopasowanym, tzn. Windows 8 lub Hardware.