Yoursites 123

[farendil]

Witam problem z Yoursites 123

Proszę o pomoc

FRST.txt

Addition.txt

[picasso]

Brakuje trzeciego obowiązkowego raportu FRST Shortcut. Proszę wrócić do konfiguracji i uzupełnić ten brakujący log: KLIK.

[farendil]

OK to chyba wszystkie.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Log FRST nadal nie skonfiurowany jak należy, opcje Lista BCD, MD5 sterowników, Pliki z 90 dni nie miały być zaznaczone. Masa zbędnych danych. I używałeś skaner-naciągacz SpyHunter - z daleka od teo dziadostwa. Operacje do przeprowadzenia:

 

1. Deinstalacje:

- Odinstaluj stare wersje z groźnymi lukami: Acrobat.com, Adobe Reader 9.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. To odpadek po niechcianej instalacji Lenovo REACHit.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 IhPul; C:\Users\Tomasz\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-14] (tsvr.com)
R2 WdMan; C:\ProgramData\FWdMF\WdMan.exe [333312 2015-12-14] (TFuns LIMITED) [brak podpisu cyfrowego]
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-15] ()
ShortcutWithArgument: C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM 
ShortcutWithArgument: C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM 
ShortcutWithArgument: C:\Users\Tomasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM 
ShortcutWithArgument: C:\Users\Tomasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms}
HKU\S-1-5-21-3503408769-2592613405-2659285744-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM
HKU\S-1-5-21-3503408769-2592613405-2659285744-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3503408769-2592613405-2659285744-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3503408769-2592613405-2659285744-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms}
BHO-x32: Discovery App -> {ba32987d-db80-4ccb-a8bb-f812b5421c0f} -> C:\Program Files (x86)\Discovery App\Extensions\ba32987d-db80-4ccb-a8bb-f812b5421c0f.dll => Brak pliku
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1449262300&z=9182f0468b0475cef1d3af8gbzfzet0ocq5o5oft9w&from=cor&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Tomasz\AppData\Roaming\Mozilla\Firefox\Profiles\jr793cve.default\extensions\deskCutv2@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Tomasz\AppData\Roaming\Mozilla\Firefox\Profiles\jr793cve.default\extensions\yahooprotected@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Tomasz\AppData\Roaming\Mozilla\Firefox\Profiles\jr793cve.default\extensions\default_newtabff@gmail.com => nie znaleziono
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM
HKLM-x32\...\Run: [V0700Mon.exe] => C:\Windows\V0700Mon.exe
Task: {181E388A-1909-403F-A3C2-397B36A7EB7E} - System32\Tasks\{DC073188-8672-4605-A646-C5B5A96248CF} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.9.0.103&LastError=404
Task: {2BA7F70A-DF2A-4AC1-A5DD-988614A7C260} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe
Task: {64FD3666-81B1-4882-A31B-DF067D4B7C98} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-12-06] (Lenovo)
Task: {BF49DE5D-EDB1-4037-A18C-7D46FFCA130F} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
RemoveDirectory: C:\Program Files (x86)\Lenovo
RemoveDirectory: C:\Program Files (x86)\Opera
RemoveDirectory: C:\Program Files (x86)\Temp
RemoveDirectory: C:\ProgramData\4WdM4
RemoveDirectory: C:\ProgramData\FWdMF
RemoveDirectory: C:\ProgramData\HWMiniProH
RemoveDirectory: C:\Users\Tomasz\AppData\Local\Lenovo
RemoveDirectory: C:\Users\Tomasz\AppData\Roaming\Shortcut
RemoveDirectory: C:\Users\Tomasz\AppData\Roaming\TSv
RemoveDirectory: C:\Users\Tomasz\AppData\Roaming\yoursearching
RemoveDirectory: C:\Users\Tomasz\REACHit
RemoveDirectory: C:\Windows\System32\Tasks\Lenovo
C:\Windows\system32\Drivers\EsgScanner.sys
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Ponadto FRST nie może działać w piaskownicy tego programu. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

4. Zrób nowy log FRST z opcji Skanuj (Scan) skonfigurowany wg wytycznych tu na forum, ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

[farendil]

Przesyłam, mam nadzieję, że wszystko zrobiłem dobrze...

 

Acha i jeszcze mam pytanie, czy problem może się pojawiać znowu i co jest tego przyczyną?

 

Czy najnowsza wersja Acrobad Readera jest mniej dziurawa i co za tym idzie bardziej bezpieczna?

FRST.txt

Addition.txt

Fixlog.txt

[picasso]

Wszystko zrobione. Poprawki:

 

1. Uruchom ponownie ten specjalny deinstalator Microsoftu i tym razem za jego pomocą usuń ukryty odpadek Acrobat.com.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

 

 

Acha i jeszcze mam pytanie, czy problem może się pojawiać znowu i co jest tego przyczyną?

Ten rodzaj problemów ma taką oto przyczynę: KLIK. Tu na pewno była jakaś instalacja tego rodzaju. Na 100% korzystałeś też ze świńskiego "Asystenta pobierania" dobrychprogramów, bo w moim skrypcie zadałam usuwanie jego kluczy rejestru i zostały one znalezione, ten pierwszy klucz to rodzaj "śledzącego ciastka" powiązanego z Asystentem-przekrętem:

 

HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I => klucz pomyślnie usunięto

HKCU\Software\dobreprogramy => klucz pomyślnie usunięto

 

Czy najnowsza wersja Acrobad Readera jest mniej dziurawa i co za tym idzie bardziej bezpieczna?

Adobe Reader 9.0.0 to stara niebezpieczna wersja z lukami, nie wspierana przez producenta (brak aktualizacji bezpieczeństwa). Mnóstwo wersji po zostało wydanych, tzn. linie X, XI, DC. Najnowsze wersje Adobe Reader to XI 11.0.13 (ostatnia załatana z tej standardowej linii, choć edycja też porzucona) lub najnowsza linia DC (to już aplikacja oparta na chmurze). Wszystko wyłożone w przyklejonym: KLIK.

[farendil]

Raport to tylko taki mi pokazało.

AdwCleanerS1.txt

[picasso]

Ostatnia poprawka. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKCU\Software\Mozilla\Extends
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BA32987D-DB80-4CCB-A8BB-F812B5421C0F}
DeleteKey: HKLM\SOFTWARE\Classes\Interface\{EAF8EEB4-71A2-41DA-B91C-6E2904B188CA}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv
DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp
DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursearchingSoftware
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EAF8EEB4-71A2-41DA-B91C-6E2904B188CA}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{23D34738-E43F-455B-B9FE-56968533500D}
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro
RemoveDirectory: C:\Adwcleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\Users\Tomasz\Desktop\Stare dane programu Firefox
CMD: del /q C:\Windows\SysWOW64\pl.html

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[farendil]

ok

Fixlog.txt

[picasso]

Kończymy:

 

1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK.

 

2. Przez SHIFT+DEL (omija Kosz) skasuj E:\Programy\FRST. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[farendil]

Zrobione

DelFix.txt

[picasso]

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt.

 

To tyle.

[farendil]

Ogromne dzięki. Wykonujesz mega pracę, dzięki raz jeszcze. Pozdrawiam serdecznie