Hijacker yoursites123.com

[geozet]

Cześć! Standardowy problem... Proszę o pomoc

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Zasady działu: KLIK. Zakaz podpinania się pod cudze tematy. Post wydzielony w osobny temat. Nie przeczytane także wytyczne jak konfigurować raporty FRST tu na forum: KLIK. Zaznaczone zbędne opcje Lista BCD, MD5 sterowników i Pliki z 90 dni. Kupa zbędnych danych i za duże logi, których analiza jest niewdzięczna.

 

 

Na temat tego skąd się biorą takie śmieci: KLIK. W raportach widać, że latałeś po określonych portalach i ściągałeś ich "downloadery", a nie poprawne instalacje... I jest tu więcej adware, nie tylko problem tytułowy, oraz wątpliwy skaner-naciągacz SpyHunter. Działania do przeprowadzenia:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj SpyHunter. Następnie uruchom Zoek i w oknie wklej:

 

Metric Collection SDK;u
Metric Collection SDK 35;u

 

Klik w Run Script. Powstanie log zoek-results.log. W eksploratorze Windows menu Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > odznacz Ukryj rozszerzenia znanych plików. Po tym zmień nazwę pliku na zoek-results.txt.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:


CreateRestorePoint:

AppInit_DLLs: C:\ProgramData\Driptax\SaoGojob.dll => C:\ProgramData\Driptax\SaoGojob.dll [883200 2015-09-28] ()

GroupPolicy: Ograniczenia - Chrome 

CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 

ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449866903&z=8030ce62766807e07efd8b6g5zfz3t7baqcq3taeeo&from=ient07021&uid=ST1000LM024XHN-M101MBB_S314J90F135569135569 

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

HKU\S-1-5-21-1980786313-716170311-3172534565-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csoHODO84cNYuMHlRGWVhqRwgzZQCjI0kGkkopCuLL1p5BirDNmB9jbEzwkMR52OrwsZBdRrctS-exSyW5CAW9Po4X1HLgaray-qBEhdP2wpLBbE0ZhB5t4Yp-L2cJrSgwToJffy-8n0AA,,&q={searchTerms}

HKU\S-1-5-21-1980786313-716170311-3172534565-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csoHODO84cNYuMHlRGWVhqRwgzZQCjI0kGkkopCuLL1p5BirDNmB9jbEzwkMR52OrwsZBdRrctS-exSyW5CAW9Po4X1HLgaray-qBEhdP2wpLBbE0ZhB5t4Yp-L2cJrSgwToJffy-8n0AA,,&q={searchTerms}

HKU\S-1-5-21-1980786313-716170311-3172534565-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csoHODO84cNYuMHlRGWVhqRwgzZQCjI0kGkkopCuLL1p5BirDNmB9jbEzwkMR52OrwsZBdRrctS-exSyW5CAW9Po4X1HLgaray-qBEhdP2wpLBbE0ZhB5t4Yp-L2cJrSgwToJffy-8n0AA,,&q={searchTerms}

URLSearchHook: HKU\S-1-5-21-1980786313-716170311-3172534565-1001 - (Brak nazwy) - {4c60e5ab-5c68-4c59-abaa-885010b24b32} - Brak pliku

SearchScopes: HKU\S-1-5-21-1980786313-716170311-3172534565-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku

Toolbar: HKLM-x32 - Brak nazwy - {c66a678d-5e6c-4af9-8f57-c6192f42cf74} - Brak pliku

Toolbar: HKU\S-1-5-21-1980786313-716170311-3172534565-1001 -> Brak nazwy - {C66A678D-5E6C-4AF9-8F57-C6192F42CF74} - Brak pliku

FF HKU\S-1-5-21-1980786313-716170311-3172534565-1001\...\Firefox\Extensions: [{0293E99F-EEC4-37CA-8FD2-1E89B11A26CF}] - C:\Program Files (x86)\ver5SpeeditUp\189.xpi => nie znaleziono

StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe

S1 {41dd6130-8c97-47b1-a0d4-6ee31608c702}Gw64; system32\drivers\{41dd6130-8c97-47b1-a0d4-6ee31608c702}Gw64.sys [X]

S1 {5a175d0d-5539-4e73-8563-80c93aa35313}Gw64; system32\drivers\{5a175d0d-5539-4e73-8563-80c93aa35313}Gw64.sys [X]

S1 {712c470d-11c2-4e3b-b30b-b9606cb36aed}Gw64; system32\drivers\{712c470d-11c2-4e3b-b30b-b9606cb36aed}Gw64.sys [X]

S1 {75afa305-1b32-4464-a5e2-f606c80b73a4}Gw64; system32\drivers\{75afa305-1b32-4464-a5e2-f606c80b73a4}Gw64.sys [X]

S1 {770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64; system32\drivers\{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64.sys [X]

S1 {b4a69fee-d6ff-4bda-bdd9-f5dbbe57aa69}Gw64; system32\drivers\{b4a69fee-d6ff-4bda-bdd9-f5dbbe57aa69}Gw64.sys [X]

S1 {b6f164a0-5e01-4c08-b4af-72276812d17d}Gw64; system32\drivers\{b6f164a0-5e01-4c08-b4af-72276812d17d}Gw64.sys [X]

S1 {da0b130f-7ef7-4a5c-97ff-4239bbc3502d}Gw64; system32\drivers\{da0b130f-7ef7-4a5c-97ff-4239bbc3502d}Gw64.sys [X]

S1 {e8294a7e-8442-4f3a-8722-cb5c3f67ed67}Gw64; system32\drivers\{e8294a7e-8442-4f3a-8722-cb5c3f67ed67}Gw64.sys [X]

S1 {fa03420d-05ef-4826-9373-bf3c8734921f}Gw64; system32\drivers\{fa03420d-05ef-4826-9373-bf3c8734921f}Gw64.sys [X]

S1 {fd74c1d1-1ac3-43f9-8336-32679dc7de45}Gw64; system32\drivers\{fd74c1d1-1ac3-43f9-8336-32679dc7de45}Gw64.sys [X]

Task: {18B6F418-7635-4D89-B044-433AC306A810} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 

Task: {23F0D79D-84C0-4564-B325-62EA73FC18EF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 

Task: {2A5D01D5-2D85-468B-93C7-DCE68B8317EF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 

Task: {4E04D3CF-230C-47A6-B386-A26D4C3C0ACE} - System32\Tasks\{49720866-9BFB-406A-8E56-D00C70BDEA56} => pcalua.exe -a "C:\Program Files (x86)\Common Files\VillaSaotech\uninstall.exe" -c -f "C:\Program Files (x86)\Common Files\VillaSaotech\uninstall.dat" -a uninstallme 95961693-4B77-4840-AF17-6D7F2EB5C103 DeviceId=97e2cf90-80c7-e724-e482-601e24451464 BarcodeId=50028003 ChannelId=3 DistributerName=APSFIsc

Task: {6A0D5A7C-CB4A-4E97-AE17-107A84C9432F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 

Task: {6E1D43F6-FE4B-4BA0-BF4F-39799455000F} - System32\Tasks\Rush Image => Rundll32.exe "C:\Users\Przemek\AppData\Local\Rush Image\Bin\RushImage.dll",#3 

Task: {73A75CAF-D682-4E77-B96E-303084F9D4B3} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 

Task: {768B4EA4-5B76-439D-8D73-CC5BAF33F774} - \PCDoctorBackgroundMonitorTask -> Brak pliku 

Task: {8712ADB4-7155-4737-B2C4-F7F8B2CA3A1D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 

Task: {89D7DF49-6CFE-4C29-AB85-35696E4518F5} - System32\Tasks\aeUB8660hRr => C:\Users\Przemek\AppData\Roaming\aeUB8660hRr.exe 

Task: {8A780407-C5A0-40E2-960A-DA8823A0DAA9} - System32\Tasks\{EFBB6034-8087-47CD-8272-93DD24C25BCF} => pcalua.exe -a "C:\Program Files (x86)\360\Total Security\Uninstall.exe"

Task: {8CABE4A8-A30B-438D-BF8E-355521F75C93} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 

Task: {A36AB3D4-0C76-447F-84E1-94B3138E19EC} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 

Task: {BBECFAA3-9FFF-4662-B2B7-EA834F71BA82} - System32\Tasks\6CEEEvaNHqz3OyRv => C:\Users\Przemek\AppData\Roaming\6CEEEvaNHqz3OyRv.exe 

Task: {BE2AE13A-8166-4285-9ADA-FB21E85653B4} - \SystemToolsDailyTest -> Brak pliku 

Task: {D0887662-2314-48FF-98A2-35FF654231B3} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 

Task: {EE6E006B-FD3F-4C39-99D1-81F90327C4B8} - \PCDEventLauncherTask -> Brak pliku 

Task: {EF98FEE3-E118-4CA7-AA7A-0926C9127FED} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 

Task: {F216AAD1-B817-4CF5-B2B6-BBD46E758724} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe

Task: {FA1B5348-E269-4C1F-ACFA-1E0792A42C6B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 

Task: C:\WINDOWS\Tasks\6CEEEvaNHqz3OyRv.job => C:\Users\Przemek\AppData\Roaming\6CEEEvaNHqz3OyRv.exe 

Task: C:\WINDOWS\Tasks\aeUB8660hRr.job => C:\Users\Przemek\AppData\Roaming\aeUB8660hRr.exe 

DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I

DeleteKey: HKCU\Software\dobreprogramy

DeleteKey: HKCU\Software\instalki.pl

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo

DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software

Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f

Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f

Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f

Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f

Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f

Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f

Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f

Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BTMTrayAgent /f

Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f

Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "FromDocToPDF EPM Support" /f

Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "FromDocToPDF AppIntegrator 64-bit" /f

Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "FromDocToPDF AppIntegrator 32-bit" /f

RemoveDirectory: C:\$360Section

RemoveDirectory: C:\AdwCleaner

RemoveDirectory: C:\Program Files (x86)\Google

RemoveDirectory: C:\Program Files (x86)\Lenovo

RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\browser\defaults

RemoveDirectory: C:\Program Files (x86)\Opera

RemoveDirectory: C:\ProgramData\360Quarant

RemoveDirectory: C:\ProgramData\Driptax

RemoveDirectory: C:\ProgramData\Driptaxs

RemoveDirectory: C:\Users\Administrator\AppData\Local\FromDocToPDF_65

RemoveDirectory: C:\Users\Administrator\AppData\LocalLow\FromDocToPDF_65

RemoveDirectory: C:\Users\Przemek\AppData\Local\Google

RemoveDirectory: C:\Users\Przemek\AppData\Local\Lenovo

RemoveDirectory: C:\Users\Przemek\AppData\Local\Rush Image

RemoveDirectory: C:\Users\Przemek\AppData\Local\Opera Software

RemoveDirectory: C:\Users\Przemek\AppData\Roaming\Opera Software

RemoveDirectory: C:\Users\Przemek\Downloads\SpyHunter Security Suite v3.12.31 [ENG] [Crack]

RemoveDirectory: C:\Users\Przemek\REACHit

RemoveDirectory: C:\WINDOWS\System32\Tasks\Lenovo

C:\ProgramData\*.log

C:\Users\Przemek\AppData\Roaming\6CEEEvaNHqz3OyRv

C:\Users\Przemek\AppData\Roaming\aeUB8660hRr

C:\Users\Przemek\Downloads\*-dp*.exe

C:\Users\Przemek\Documents\*Downloader*

C:\Users\Przemek\Downloads\*INSTALKI.pl*.exe

C:\Users\Przemek\Downloads\*sciagnij*.exe

C:\Users\Przemek\Downloads\G6hwiz0QXsE&hl=de_DE&fs=1&rel=0&color1=0x006699&color2=0x54abd6&autoplay=0.swf

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.
• Menu Historia > Wyczyść całą historię przeglądania.

4. Zrób nowy log FRST z opcji Skanuj (Scan) zgodnie z konfiguracją tu na forum, ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt + zoek-results.txt. Potwierdź także, że problem ustąpił w przeglądarce Edge.

[geozet]

Dziękuję za pomoc i przepraszam za tradycyjne niedoczytanie zasad. Wygląda na to, że problem rozwiązany. W edge nie występował i nie występuje. Mam jeszcze sporo takich komputerów, ale najpierw zajmę się dotacją. Pzdr!

Addition.txt

FRST.txt

Fixlog.txt

zoek-results.txt

[picasso]

Wszeystko zrobione. Kończymy:

 

1. Ostatni fiks. Otwórz Notatnik i wklej w nim:

 

Task: {FBEA54EC-F34D-4090-9BE5-E623CC794566} - System32\Tasks\SpyHunter3 => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter3.exe
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Enigma Software Group
RemoveDirectory: C:\Users\Przemek\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\zoek_backup
CMD: del /q "C:\Users\Przemek\Downloads\SpyHunter Security Suite v3.12.31 [ENG] [Crack].rar"
CMD: del /q C:\WINDOWS\System32\Tasks\SpyHunter3

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix).

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.