Problem z yoursites123 w Edge

[liluwoj]

Witam,

 

załączam wszystkie logi. Mam nadzieję, że teraz wszystko się zgadza. Jeśli nie to proszę o info

 

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

W raportach nie ma śladów tych przekierowań w Edge, ale FRST nie skanuje wszystkich ustawień. Zostanie tu wykonany reset ustawień Edge i inne drobne doczyszczanie. Akcja:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędne programy: HP Deskjet 5520 series — badanie mające na celu poprawę produktów, WebStorage.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite Automount" /f
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
SearchScopes: HKU\S-1-5-21-1391875746-577248832-3267673664-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
HKLM-x32\...\Run: [] => [X]
BootExecute: autocheck autochk * bootdelete
ManualProxies:
Tcpip\..\Interfaces\{5b4a9d77-9cdb-4475-b276-2776b130a1ae}: [DhcpNameServer] 40.54.1.16
S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [83096 2015-11-25] (McAfee, Inc.)
Task: {0C1B3FF8-5D95-4028-BF08-9D35E7833511} - System32\Tasks\{F25B2057-D00E-4B9B-BA14-663442D6A760} => pcalua.exe -a C:\Users\Agata\AppData\Roaming\WarThunder\Uninstaller.exe -c /Run /ePN:0W1T1C0T1M2Y1G1Q1P1C
Task: {1A0EEC8C-AB4F-49C5-85BE-4E31589FB20E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {1B5A5CDD-6D80-4362-BE6D-7AFBAA6875A7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {2157C308-5827-4951-BD38-EF0C998B3585} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {25CDC5F6-22C0-4744-BFC5-4535A1FE9928} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\E9207EB106E716ACFD3B51D391498F16\Update\BrowserUpdate.exe [2016-03-17] (Tencent)
Task: {54C26067-9148-4ECC-A4FF-50A520D140B2} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {6045ED40-B08A-48E2-A6DF-F1D2DB89E1DE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {8292F44E-3048-43C4-BCD7-9F8AEEFECF72} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {902BF050-2A5D-4F2F-9ED2-A7C1CDE68CFE} - \task Update -> Brak pliku 
Task: {C44442C3-2D81-487B-A094-B5D12656CE60} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {D97A7CCA-DCE7-4926-85E3-154EA63578E1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {F50B1DAF-0343-4EE7-B0B4-8715CA69A2AC} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {F9DED7FD-E7E8-4C68-8CC2-A48D526D40C2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {FBDAEB41-B071-4332-9B45-474F88CF6B88} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files (x86)\Google
RemoveDirectory: C:\Program Files (x86)\QQBrowser
RemoveDirectory: C:\ProgramData\HitmanPro
RemoveDirectory: C:\WINDOWS\SysWOW64\_tWm
C:\Users\Agata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk
C:\Users\Agata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk
C:\WINDOWS\System32\bootdelete.exe
C:\WINDOWS\System32\bootdelete.lst
C:\Windows\System32\drivers\mfeelamk.sys
C:\WINDOWS\SysWOW64\123.html
C:\WINDOWS\SysWOW64\data.bin
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

[liluwoj]

Załączam logi.

W Edge nie ma już yoursites123 bardzo dziękuję za pomoc.

A jeszcze mam pytanie, bo jak robiłam gmer to wykryło jakiegoś rootkit'a. Czy to yoursites123 to właśnie było to czy jeszcze coś innego? Zostało też usunięte?

Fixlog.txt

FRST.txt

[picasso]

Wszystko pomyślnie przeprowadzone. Na koniec zastosuj DelFix. A pobrany GMER skasuj ręcznie, DelFix go nie wykryje.

 

 

A jeszcze mam pytanie, bo jak robiłam gmer to wykryło jakiegoś rootkit'a. Czy to yoursites123 to właśnie było to czy jeszcze coś innego? Zostało też usunięte?

Nie, to nie ma w ogóle związku z drobnym hijackerem yoursites123, ani żadną inną infekcją. Rekord ten w GMER odnosi się do Usługi inteligentnego transferu (BITS) związanej z Windows Update. Oznaczanie tej usługi jako "rootkit" wygląda na fałszywy alarm GMER. Być może usługa była w stanie zawieszenia podczas skanu. Nic nie wskazuje, by był tu problem infekcji w tym obszarze.

 

Service C:\WINDOWS\System32\qmgr.dll (*** hidden ***) [AUTO] BITS 

[liluwoj]

Super, bardzo dziękuję za pomoc. Załączam na koniec loga z DelFix.

DelFix.txt

[picasso]

Upewnij się, że został skasowany folder C:\FRST. Usuń log C:\delfix.txt.

 

To wszystko. Temat rozwiązany. Zamykam.