yoursites 123

[tomicher]

witam,

plaga trwa nadal...

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Działania do przeprowadzenia:

 

1. Deinstalacje:

- Przez Panel sterowania odinstaluj staroć Adobe AIR.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 IhPul; C:\Users\tomicher\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: )
R2 WdMan; C:\ProgramData\iWdMi\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [File not signed]
ShortcutWithArgument: C:\Users\tomicher\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C 
ShortcutWithArgument: C:\Users\tomicher\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C 
ShortcutWithArgument: C:\Users\tomicher\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C 
ShortcutWithArgument: C:\Users\tomicher\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms}
HKU\S-1-5-21-4200013936-444429621-2781623297-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-4200013936-444429621-2781623297-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C
HKU\S-1-5-21-4200013936-444429621-2781623297-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-4200013936-444429621-2781623297-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-4200013936-444429621-2781623297-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms}
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4200013936-444429621-2781623297-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4200013936-444429621-2781623297-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4200013936-444429621-2781623297-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C
FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\tomicher\AppData\Roaming\Mozilla\Firefox\Profiles\mc66johb.default\extensions\default_newtabff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\tomicher\AppData\Roaming\Mozilla\Firefox\Profiles\mc66johb.default\extensions\yahooprotected@gmail.com
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449716520&z=f0d52473151e5b71e4d75e2gbz0z1t9mdg6q9wbgfz&from=ient07021&uid=KINGSTONXSH103S3120G_50026B724C0A6B3C
HKU\S-1-5-21-4200013936-444429621-2781623297-1000\...\Run: [AdobeBridge] => [X]
Task: {A62E85D1-C694-4B85-BE5C-661C6B6B8AAC} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo)
Task: {F6517F2F-4C90-41C3-BFE4-8F4B27BABBA4} - System32\Tasks\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4} => C:\Users\tomicher\AppData\Local\Temp\is-RBU16.tmp\XRD Manager.exe 
Task: C:\Windows\Tasks\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4}.job => C:\Users\tomicher\AppData\Local\Temp\is-RBU16.tmp\XRD Manager.exeȈ/exenoupdates /exelang 0 /noprereqs /qr AI_RESUME=1 ADDLOCAL=MainFeature,XRDdrivers64 ACTION=INSTALL EXECUTEACTION=INSTALL ROOTDRIVE B:\ AI_PREREQFILES=C:\Users\tomicher\AppData\Local\Temp\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4}\drivers64.msi AI_PREREQDIRS=C:\Users\tomicher\AppData\Local\Temp AI_SETUPEXEPATH=C:\Users\tomicher\AppData\Local\Temp\is-RBU16.tmp\XRD Manager.exe SETUPEXEDIR=C:\Users\tomicher\AppData\Local\Temp\is-RBU16.tmp 
AlternateDataStreams: C:\Users\tomicher\Local Settings:zhhH3GwtGql4nb023w
AlternateDataStreams: C:\Users\tomicher\AppData\Local:zhhH3GwtGql4nb023w
AlternateDataStreams: C:\Users\tomicher\AppData\Local\Application Data:zhhH3GwtGql4nb023w
AlternateDataStreams: C:\Users\tomicher\AppData\Local\Temporary Internet Files:ZwIF55s4FoSaLBgyRBV62vD0
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
RemoveDirectory: C:\Program Files (x86)\Lenovo
RemoveDirectory: C:\Program Files (x86)\SFK
RemoveDirectory: C:\ProgramData\iWdMi
RemoveDirectory: C:\ProgramData\XWMiniProX
RemoveDirectory: C:\Users\tomicher\AppData\Local\Lenovo
RemoveDirectory: C:\Users\tomicher\AppData\Roaming\eCyber
RemoveDirectory: C:\Users\tomicher\AppData\Roaming\TSv
RemoveDirectory: C:\Users\tomicher\Desktop\FRST-OlderVersion
RemoveDirectory: C:\Windows\System32\Tasks\Lenovo
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\T23J7
C:\ProgramData\V93GE
C:\Users\tomicher\Desktop\SpyHunter-installer.exe
C:\Windows\SysWOW64\pl.html
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.
• Menu Historia > Wyczyść całą historię przeglądania.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

[tomicher]

W załącznikach wymagane logi.

 

Czy komputer jest obecnie wolny od innych robaków i złośliwego oprogramowania  ?

 

 

Fixlog.txt

Addition.txt

FRST.txt

[picasso]

Czy komputer jest obecnie wolny od innych robaków i złośliwego oprogramowania ?

Przecież raporty sprawdzam kompleksowo, a nie tylko pod kątem tego co zgłasza użytkownik. Co było widoczne w raportach, już usunięte. Nawiasem mówiąc, masz także crack aktywacji Office (AutoKMS), który ominęłam celowo, ale różne skanery mogą go wykrywać. Teraz:

 

Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[tomicher]

Nie chciałem kwestionować twoich kompetencji i umiejętności a jedynie dopytać czy ta pomoc ma charakter "globalny" czy nie : )

 

Bardzo dziękuję.

 

 

AdwCleanerS1.txt

AdwCleanerS2.txt

[picasso]

Ostatnia poprawka. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKCU\Software\Mozilla\Extends
DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp
DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode
DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv
DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8}
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\ProgramData\gWMiniProg
RemoveDirectory: C:\Users\tomicher\AppData\Roaming\OpenCandy
RemoveDirectory: C:\Users\tomicher\Desktop\Stare dane programu Firefox
CMD: del /q C:\Users\tomicher\Desktop\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe
CMD: del /q C:\Windows\SysWOW64\findit.xml

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[tomicher]

fixlog w załączniku.

w momencie naprawianiaw frst64, firefox zakończył działanie.

Fixlog.txt

[picasso]

To normalne - Fix FRST ma wbudowane zabijanie procesów wszystkich głównych przeglądarek. Fix wykonany. Kończymy:

 

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

[tomicher]

Wydaje mi się, że wszystko ok : )

 

DelFix.txt