Moją przeglądarkę zaatakował yoursites123

ocznik1986 · 24 Stycznia 2016

Nie wiem jak mam usunąć tytułowy problem czyli Yoursites123

Program Malwarebytes Anti-Malware nic nie dał. Zainstalowałem go bo był artykuł na dobreprogramy.pl o Yoursites123 i tam polecono ten program, ale ten nic nie dał. (Usunął około 70 jakiś błędów, ale nie usunął najważniejszego problemu).

Nie wiem jakie Pani wyniki potrzebuje w załączniku dałem FRST, Addition i Shortcut z zaznaczeniem wszystkich opcji.

Addition.txt

FRST.txt

Shortcut.txt

Rucek · 24 Stycznia 2016

Spróbuj jeszcze zrobić obowiązkowy log GMER. Tutaj masz instrukcje: https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/?do=findComment&comment=318
Jak nie pójdzie normalnie, to spróbuj w trybie awaryjnym. Czekaj cierpliwie na Picasso - nic nie zmieniaj by logi były aktualne.

ocznik1986 · 24 Stycznia 2016

Nie mam uprawnień do wysyłania plików typu .log

picasso · 6 Lutego 2016

W instrukcji tworzenia raportu GMER jest wyraźnie zaznaczone jak zapisać raport, by powstało rozszerzenie *.txt a nie *.log (zabronione w załącznikach).

Próbując rozwiązać problem pobierałeś program z czarnej listy - SpyHunter. Z daleka od niego. Do wykonania następujące działania:

1. Odinstaluj starsze wersje i zbędne programy: Adobe Flash Player 20 NPAPI (Firefox został odinstalowany), Adobe Shockwave Player 12.2 (starsza wersja), GeekBuddy (przemycony w instalacji COMODO), Java 8 Update 66 (64-bit) (starsza wersja), McAfee Security Scan Plus (przemycony sponsor instalacji Adobe).

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B
ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B
ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B
ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B
CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B
CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B"
CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms}
CHR DefaultSearchKeyword: Default -> yoursites123
StartMenuInternet: (HKLM) OperaStable - Opera.exe
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
SearchScopes: HKU\S-1-5-21-349823380-3586821361-4140115957-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
Task: {409A204D-1164-453D-8844-208071EC8E02} - System32\Tasks\{B5C60C13-9C2F-45FE-8A6D-24052C3A44F8} => pcalua.exe -a C:\Users\Łukasz\AppData\Roaming\DarkEra\Uninstaller.exe -c /Run /ePN:0D1T1C1J0E1C1T
Task: {49D4BB84-418A-4274-B90D-EDE2886B1FCD} - \Microsoft\Windows\Setup\gwx\runappraiser -> Brak pliku 
Task: {5F5FC5E5-2FE6-4D9B-A65A-657066944244} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe 
Task: {66BF1CD1-801C-432E-8D55-D7036017CE0B} - System32\Tasks\HPCeeScheduleForŁukasz => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe
Task: {6B3F7AC7-E0E7-4B3A-A888-A5B3C31056DE} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {6C81B1C9-1EDE-4785-B1AC-E8B32DF143AB} - \task Update -> Brak pliku 
Task: {6E9A3B45-07B9-4A3C-8207-1E66B0323619} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe 
Task: {D534EE4D-818D-4568-BE14-4B233F713CD2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {E2543A82-EA87-4588-AD0F-9D9DC065B22E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {E2DCDC8F-3294-403B-9CDF-0204BAED4E08} - System32\Tasks\{9FFD3CB4-5DE5-4475-B774-FD94FDB7AACF} => pcalua.exe -a F:\AutorunArcanum.exe -d F:\
Task: C:\WINDOWS\Tasks\HPCeeScheduleForŁukasz.job => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-01-23] ()
R2 svcp; C:\WINDOWS\system32\Drivers\svcp64.sys [43800 2015-12-01] (Kurupira.net)
S3 ETDSMBus; \SystemRoot\system32\DRIVERS\ETDSMBus.sys [X]
C:\Program Files (x86)\RayDld
C:\Program Files (x86)\SFK
C:\Program Files (x86)\TDataDld
C:\Program Files (x86)\yessearches-bnd
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\5WdM5
C:\ProgramData\7WdM7
C:\ProgramData\cWdMc
C:\ProgramData\Microsoft\Windows\GameExplorer\{F1AB869D-89BC-4FC9-B966-FE7B566543D0}
C:\Users\Łukasz\AppData\Local\Mozilla
C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DarkEra.lnk
C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk
C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkEra.lnk
C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk
C:\Users\Łukasz\AppData\Roaming\Mozilla
C:\Users\Łukasz\AppData\Roaming\TSv
C:\Users\Łukasz\AppData\Roaming\WarThunder
C:\Users\Łukasz\Downloads\SpyHunter_4 1 11 0_[ENG]_[Crack][Torrenty.org].torrent
C:\Users\Łukasz\Downloads\SpyHunter-Installer.exe
C:\WINDOWS\SysWOW64\data.bin
C:\WINDOWS\SysWOW64\pl.html
C:\WINDOWS\system32\Drivers\EsgScanner.sys
C:\WINDOWS\system32\Drivers\svcp64.sys
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść Google Chrome:

Zresetuj synchronizację (o ile włączona): KLIK.
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Moją przeglądarkę zaatakował yoursites123

Rekomendowane odpowiedzi

ocznik1986

Odnośnik do komentarza

Rucek

Odnośnik do komentarza

ocznik1986

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność