Usunięcie wtyczki yoursites123!

[bartunio]

Siemanko,

Mój komputer został zainfekowany jakas wtyczka yoursites123. Dobrych forumowiczow prosze o pomoc... ! Już zdążyłem zrobić mały research i w załączniku znajduje się pliki notatnika z FRST.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Posty skleiłam doprowadzając do oczekiwanej tu formy. Ale oczywiście odpowiadasz mi już w nowym poście.

 

Jest tu więcej szkodników, tzn. sterownik adware WordFly oraz w Google Chrome pozornie poprawne rozszerzenie Shortcuts for All Google™ produkujące przekierowania iktmmny.com. Akcja:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny program zintegrowany na ASUS, a znany z produkowania błędów explorer.exe: WebStorage.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 IhPul; C:\Users\bartek\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: )
R2 WdMan; C:\ProgramData\BWdMB\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
R1 wfdrvr_vw_1_10_0_28; C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_28.sys [57712 2015-10-30] (WF)
ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 
ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 
ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 
ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 
ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 
ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 
ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms}
HKU\S-1-5-21-3045090937-3747617143-1340328465-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507
HKU\S-1-5-21-3045090937-3747617143-1340328465-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3045090937-3747617143-1340328465-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3045090937-3747617143-1340328465-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446485605&z=5ec90be8ca735156dc07221gcz4zbq1z6b8wec4cbw&from=cor&uid=KINGSTONXSV300S37A240G_50026B7258069507
FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\defsearchp@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\deskCutv2@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\sidebarff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\default_newtabff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\yahooprotected@gmail.com
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507
CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507
CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507"
CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\bartek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07]
CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\bartek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07]
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507
U0 msahci; system32\drivers\msahci.sys [X]
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
RemoveDirectory: C:\Program Files (x86)\SFK
RemoveDirectory: C:\Program Files (x86)\WinZipper
RemoveDirectory: C:\ProgramData\BWdMB
RemoveDirectory: C:\ProgramData\pWdMp
RemoveDirectory: C:\ProgramData\UWMiniProU
RemoveDirectory: C:\Users\bartek\AppData\Roaming\TSv
RemoveDirectory: C:\Users\bartek\AppData\Roaming\WinZipper
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Users\bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Ad.Block Pro.lnk
C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_28.sys
C:\Windows\SysWOW64\pl.html
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki z adware:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj Ad.Block Pro, Shortcuts for All Google™.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

[bartunio]

Dzięki wielkie za pomoc, wygląda na to że wszystko działa. Zrewanżuję się za chwilę

[picasso]

Ale tak spraw tu nie załatwiamy, by się oddalić bez słowa. Wyniki muszą być sprawdzone, skrypt mógł czegoś nie wykonać, coś mogło zostać ominięte, jakiś punkt mogłeś "ominąć" sądząc, że mało istotny, etc. Prosiłam wyraźnie:

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso