Yoursites123...

[p4tryq]

Witam, zwracam się z prośbą o pomoc jak w temacie. Poniżej logi:

Addition.txt

FRST.txt

Shortcut.txt

gmer log.txt

[picasso]

Działania do przeprowadzenia:

 

1. Odinstaluj adware WinZipper.

 

2. W systemie są aktywne komponenty niepoprawnie odinstalowanego skanera StopZilla, które filtrują karty sieciowe. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > z prawokliku na każde obecne połączenie pobierz Właściwości > wyszukaj element podobny do poniższego (możliwe nazwy to Sunbelt / GFI / ThreatTrack NDIS IM Filter), podświetl, odinstaluj i zresetuj system.

 

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 IhPul; C:\Users\Jacek\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: )
R2 WdMan; C:\ProgramData\MWdMM\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego]
S3 gfiark; C:\Windows\System32\drivers\gfiark.sys [43368 2013-05-23] (ThreatTrack Security)
S3 gfiutil; C:\Windows\System32\drivers\gfiutil.sys [24040 2013-09-04] (ThreatTrack Security)
R2 sbapifs; C:\Windows\System32\DRIVERS\sbapifs.sys [70888 2013-10-01] (ThreatTrack Security, Inc.)
S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X]
S1 SBRE; \SystemRoot\system32\drivers\SBREDrv.sys [X]
ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350
ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&ts=1379754226
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&ts=1379754226
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-3686410479-3997652338-1969191703-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&ts=1379754226
HKU\S-1-5-21-3686410479-3997652338-1969191703-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&ts=1379754226
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1431082016&z=9348754c8f5a231f5bcda6ag8z9cegde6b9ocefgdw&from=wpm05083&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1431082016&z=9348754c8f5a231f5bcda6ag8z9cegde6b9ocefgdw&from=wpm05083&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&q={searchTerms}
SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1425449658&from=zbd1&uid=wdcxwd3200bevt-22zct0_wd-wxj0a69m2350m2350&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3686410479-3997652338-1969191703-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1450080957&z=1476589de430efd77f7f1e1gaz8w0e6e6bae7tcz5t&from=wpm07173&uid=WDCXWD3200BEVT-22ZCT0_WD-WXJ0A69M2350M2350"
CHR HKLM\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - \User Data\Default\Extensions\newtab.crx 
Task: {D7DEC4DF-F2E8-4BF1-A7CB-AD4459C12F57} - System32\Tasks\{E5BD5A8D-0A77-4591-B0D1-45E28A57CE26} => pcalua.exe -a "C:\Program Files\STOPzilla\SBSetupDrivers.exe" -d "C:\Program Files\STOPzilla"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SBAMSvc => ""="Service"
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\mozilla.org
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\yoursites123Software
RemoveDirectory: C:\Program Files\SFK
RemoveDirectory: C:\Program Files\WinZipper
RemoveDirectory: C:\ProgramData\MWdMM
RemoveDirectory: C:\ProgramData\nWdMn
RemoveDirectory: C:\ProgramData\Mozilla
RemoveDirectory: C:\ProgramData\WindowsMangerProtect
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STOPzilla
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper
RemoveDirectory: C:\Users\Jacek\AppData\Local\Mozilla
RemoveDirectory: C:\Users\Jacek\AppData\Roaming\Mozilla
RemoveDirectory: C:\Users\Jacek\AppData\Roaming\TSv
RemoveDirectory: C:\Users\Jacek\AppData\Roaming\WinZipper
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Windows\system32\pl.html
C:\Windows\System32\drivers\gfiark.sys
C:\Windows\System32\drivers\gfiutil.sys
C:\Windows\System32\drivers\sbapifs.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.

5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[p4tryq]

Wygląda na to, że się udało i obędzie się bez formatowania.Punktu drugiego nie zrobiłem bo nie miałem takiego czegoś jak podałaś. Wklejam logi jak prosiłaś. Chrome po restarcie uruchomił sie juz bez tego całego yoursites. Jeszcze może wiesz skąd to sie bierze.. to poucze ojca w co nie klikać.. sam nie mam takich problemów. Wielkie dzięki. Chętnie bym się jakoś odwdzięczył. Pozdrawiam

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Formatowanie to byłaby akcja kompletnie nieproporcjonalna. To jest drobny hijacker. I ten typ śmieci wchodzi takimi drogami: KLIK. Został tu uruchomiony jakiś instalator ze sponsorami...

 

Brakuje nowego głównego skanu FRST.txt. Uzupełnij.

[p4tryq]

Plik dodałem w poście wyżej. 

[picasso]

Wszystko zrobione, ale jeszcze na wszelki wypadek:

 

Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[p4tryq]

AdwCleaner nic nie wykrył. Staram się dbać o laptop ojca, ale nie zawsze uda mi sie wszystkiego dopilnowac. Dzieki jeszcze raz za pomoc.

AdwCleanerS1.txt

[picasso]

Kończymy:

 

1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK.

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. I jeszcze Internet Explorer do aktualizacji, nawet jeśli nie jest używany wcale.