Złośliwy toolbar yourGsearchfinder + wyszukiwarka yessearches

[Mihau]

Tak jak w temacie mam problem z toolbarem YourGsearch finder , bonusowo do niego podpięła się wyszukiwarka "Yessearches" , która przekierowuje mnie do strony Dealwifi. Wcześniej jako strona startowa wyświetlała się strona yoursite 123. Problem pojawia się na Firefoxie , chyba chromie (odinstalowałem) , natomiast IE wygląda na nie zainfekowany. Próbowałem usunąć te 'dodatki" AdwCleanerem a wcześniej Windows-KB890830-V5.34  , żaden program nie rozwiązał problemu. Windows-KB890830-V5.34  nie znalazł żadnych plików Malware a podczas skanowania wprowadzał komputer w stan hibernacji (?) , natomiast Adw. znalazł pliki i je usunął , jednak po ponownym uruchomieniu przeglądarki  , po chwili  nieobecności , toolbar powrócił. Używam konta firefox sync na 2 innych urządzeniach (telefon , tablet ) oczywiście przed czyszczeniem rozłączyłem konta i wyczyściłem pliki cookie jednak to nic nie pomogło. Bardzo proszę o pomoc.

Addition.txt

FRST.txt

Shortcut.txt

Gmer.txt

[picasso]

W Firefox jest szkodliwe rozszerzenie GsearchFinder, które przywraca modyfikacje preferencji. Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CreateRestorePoint:
Task: {070D2592-F020-42EE-8374-0D871E2F3BBF} - System32\Tasks\0215tb_RML => C:\Program Files\AVG Web TuneUp\AVG-Secure-Search-Update_0215tb.exe
Task: {47C75497-F6FA-4C89-9B56-9574575CA9FC} - System32\Tasks\{065EDE78-F15E-48B8-88B6-81F6D50B6134} => pcalua.exe -a F:\setup.exe -d F:\ -c -el -s2 "-dC:\Program Files\USB Vibration\7906\setup" "-p" "-sp"
Task: {5F1337DF-22B4-451E-9A57-B97B35C50104} - System32\Tasks\{554FA88E-BEE4-4FA8-8922-AD497EE2A5AD} => pcalua.exe -a I:\download\Realtime_Audio_Effects_v.1.08\V108.exe -d I:\download\Realtime_Audio_Effects_v.1.08
Task: {689A993C-465D-4A79-96FC-FD34CD453723} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo)
Task: {718D529A-4DE9-4B11-AAC7-A07ED5EE430E} - System32\Tasks\{00C87106-B09D-4B0D-9094-EFE94D55A3E2} => D:\Program Files\Shai Raiten\Bluetooth Radar\Blue Radar.exe
Task: {93A63725-46E6-48F2-AE34-2968239181A8} - \Program aktualizacji online firmy Adobe. -> Brak pliku 
Task: {B6539625-8C62-4166-859A-7E5C265D2EC3} - System32\Tasks\{4107DA9D-7BBB-4FD6-9E1F-CA7FFEC327E6} => pcalua.exe -a "I:\Games\KotF Jedi Academy Expansion Pack\Menus\flashactivexinstaller.exe" -d "I:\Games\KotF Jedi Academy Expansion Pack\Menus"
Task: C:\Windows\Tasks\0215tb_RML.job => C:\Program Files\AVG Web TuneUp\AVG-Secure-Search-Update_0215tb.exe
HKU\S-1-5-21-3561182577-639801756-3185389835-500\...\Run: [NextLive] => C:\Windows\system32\rundll32.exe "C:\Users\Administrator\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
HKU\S-1-5-21-3561182577-639801756-3185389835-1004\...\Winlogon: [shell] C:\Windows\eHome\McrMgr.exe [313344 2009-07-14] (Microsoft Corporation) 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-3561182577-639801756-3185389835-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.search.ask.com/?tpid=ORJ-SPE&o=APN11406&pf=V7&trgb=IE&p2=%5EBBE%5EOSJ000%5EYY%5EPL&gct=hp&apn_ptnrs=BBE&apn_dtid=%5EOSJ000%5EYY%5EPL&apn_dbr=ie_11.0.9600.17496&apn_uid=D3811133-D362-4BD3-B112-ABC0F68B873F&itbv=12.21.0.114&doi=2014-12-19&psv=&pt=tb
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-3561182577-639801756-3185389835-500 -> {3F763D04-7961-400F-9246-EAA23CA714F5} URL = hxxp://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.21.0.114&apn_uid=D3811133-D362-4BD3-B112-ABC0F68B873F&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17496&doi=2014-12-19&trgb=IE&q={searchTerms}&psv=&pt=tb
FF HKLM\...\Firefox\Extensions: [isend@www.bluesoleil.com] - d:\Program Files\New Folder\IVT Corporation\BlueSoleil\TransSend\FireFox\isend@www.bluesoleil.com
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-02-09]
DeleteKey: HKCU\Software\Google
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
C:\Program Files\Google
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Activision
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Knights of the Force
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LucasArts
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin 2
C:\Users\Administrator\Desktop\Play Star Wars Jedi Knight Jedi Academy.lnk
C:\Users\Administrator\Links\Desktop.lnk
C:\Users\Administrator\AppData\Local\Microsoft\Windows\GameExplorer\{8C325FDD-CF43-49D9-9BCA-03949917A80A}
C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Majkel\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
C:\Users\Majkel\AppData\Local\nsqFC0D.tmp
C:\Users\Majkel\AppData\Local\Google
C:\Users\Majkel\AppData\Local\Microsoft\Windows\GameExplorer\{50163A98-7A83-4188-9C91-00913ECB99E9}
C:\Users\Majkel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6
C:\Users\Majkel\Downloads\Desktop\Counter-Strike 1.6.lnk
C:\Users\Majkel\Downloads\Desktop\Play Star Wars Jedi Knight Jedi Academy.lnk
C:\Users\Public\Desktop\Tony Hawk's Underground 2.lnk
C:\Windows\0
C:\Windows\System32\0
C:\Windows\System32\Tasks\Lenovo
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox z adware:

• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale wszystkie rozszerzenia trzeba będzie przeinstalować.
• Menu Historia > Wyczyść całą historię przeglądania.

3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy Google Update Helper, Metric Collection SDK > Dalej. Dwa wpisy, więc narzędzie należy uruchomić dwa razy.

 

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Majkel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso