yoursites123

[Arg]

Witam,

U rodziców na komputerze pojawił się problem z yoursites123. Wiadomo coś o tym, skąd się bierze i jak się uchronić? Rodzice korzystają z allegro i portali informacyjnych, jakieś przepisy kulinarne raczej mało groźne strony.

 

Poniżej logi. Dzięki za pomoc.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Ten typ adware powinien mieć jedno z tych źródeł: KLIK.

 

Operacje do przeprowadzenia:

 

1. Przez Dodaj/Usuń programy odinstaluj wersję naruszającą bezpieczeństwo: Java™ SE Runtime Environment 6.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\5WdM5\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
S2 tor; "C:\Program Files\Tor\tor.exe" --nt-service "-ControlPort" "9051" [X]
S4 vToolbarUpdater13.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [X]
R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [26984 2012-11-05] (AVG Technologies)
S3 catchme; \??\C:\DOCUME~1\user\USTAWI~1\Temp\catchme.sys [X]
S3 cpuz134; \??\C:\DOCUME~1\user\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys [X]
S3 cpuz136; \??\C:\DOCUME~1\user\USTAWI~1\Temp\cpuz136\cpuz136_x32.sys [X]
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
S1 wafd_vt_1_10_0_20; system32\drivers\wafd_vt_1_10_0_20.sys [X]
S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X]
ShortcutWithArgument: C:\Documents and Settings\user\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B 
ShortcutWithArgument: C:\Documents and Settings\user\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B 
ShortcutWithArgument: C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B 
ShortcutWithArgument: C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B 
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B 
ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2937
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q=
HKU\S-1-5-21-1757981266-562591055-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-1757981266-562591055-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://newtab.certified-toolbar.com/nie?si=41460&tid=2937&new=true" 
HKU\S-1-5-21-1757981266-562591055-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" 
FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation)
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5b03bf19-4cf9-43b8-93d4-8e2cca96067b}_is1
DeleteKey: HKLM\SOFTWARE\yoursites123Software
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Photos Backup
DeleteKey: HKU\S-1-5-18\Software\MozillaPlugins
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\2WMiniPro2
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\5WdM5
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\iWdMi
RemoveDirectory: C:\Documents and Settings\user\Pulpit\Stare dane programu Firefox
RemoveDirectory: C:\Program Files\Mozilla Firefox\extensions
RemoveDirectory: C:\Qoobox
RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
RemoveDirectory: C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google
RemoveDirectory: C:\WINDOWS\system32\drivers\avgtpx86.sys
C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Apetito.lnk
C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Wyszukiwarka.lnk
C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job
CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.
• Menu Historia > Wyczyść całą historię przeglądania.

4. Zainstaluj IE8, bo stary IE6 po prostu nie może zostać: KLIK.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[Arg]

Dziękuję Ci bardzo za pomoc, raz mi już pomogłaś jeszcze za czasów SE. Jesteś nie zastąpiona . Przeprowadziłem wszystkie punkty, synchronizacji FF chyba nie było, bo ani konta ani nic.

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Wszystko wykonane poprawnie. Teraz:

 

Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[Arg]

Załączam log z AdwCleanera

AdwCleanerR6.txt

[picasso]

Drobne poprawki:

 

1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1757981266-562591055-1801674531-1003\...\Run: [] => C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Default_Page_URL" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run /f
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\ComboFix
RemoveDirectory: C:\Documents and Settings\user\Pulpit\Stare dane programu Firefox
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\WINDOWS\erdnt
RemoveDirectory: C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Programs\Google
CMD: attrib /d /s -r -s -h C:\FOUND.*
CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[Arg]

Wykonane jakiś czas temu. Potrzebny log czy już nie ?

 

Dziękuję Ci raz jeszcze.

[Rucek]

Przedstaw wynikowy fixlog.txt.

Tak, potrzebny.

[Arg]

Załączam fixlog.

Fixlog.txt