Przekierowania yoursites123

blyoghurt · 30 Kwietnia 2016

Witam. Ja również mam problem z tym wirusem. Próbowałem sobie sam poradzić, ale nie mam pojęcia na co patrzeć w FRST. Wszędzie jest tylko aby wstawić logi, a nie na co zwrócić uwagę. Jeżeli można, to prosiłbym o pomoc w naprawie mojego komputera, oraz wytłumaczenie o co chodzi :/

Pozdrawiam,

Bartek

Addition.txt

FRST.txt

Shortcut.txt

picasso · 1 Maja 2016

Próbowałem sobie sam poradzić, ale nie mam pojęcia na co patrzeć w FRST. Wszędzie jest tylko aby wstawić logi, a nie na co zwrócić uwagę. Jeżeli można, to prosiłbym o pomoc w naprawie mojego komputera, oraz wytłumaczenie o co chodzi :/

Sęk w tym, że analiza raportów wymaga po prostu określonej wiedzy o Windows i malware, dlatego pomoc prowadzą osoby w tym wykwalifikowane i dla nich raporty są po prostu oczywiste. Nikt nie objaśnia na co patrzeć w log, bo jest to już zupełnie inne zagadnienie (perspektywa analizy raportu), w każdym raporcie są niejednakowe wpisy zależne od konfiguracji danego systemu (pokazanie czegoś w jednym raporcie nie gwarantuje że to samo będzie w drugim), a skoro użytkownik samodzielnie nie wie w czym rzecz, podanie mu tej informacji nie przyniesie korzyści, a nie daj Boże sam się weźmie za naprawy skryptami FRST i uszkodzi coś w systemie.

W skrócie objaśniając na czym polega tu problem: to nie jest wirus tylko adware, stosujące dość proste triki, tzn. hurtowa modyfikacja skrótów LNK przeglądarek (dostawienie argumentu do skrótu) oraz wszystkich możliwych preferencji przeglądarek. W zależności od sytuacji w raporcie mogą być dodatkowe elementy, np. usługi ochronne odnawiające modyfikacje. W raportach FRST różnych użytkowników są unikatowe zestawy, w rozumieniu niejednakowych elementów (inny plik uruchomiono, użytkownik podejmował próby czyszczenia i częściowo pozbył się obiektów, inne przeglądarki zainstalowane, inny stopień modyfikacji, etc.).

Działania do przeprowadzenia:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
R2 IhPul; C:\Users\Asia\AppData\Roaming\TSv\TSvr.exe [291064 2016-03-24] (tsvr.com)
R2 WdMan; C:\ProgramData\HWdMH\WdMan.exe [297984 2016-03-25] (TFuns LIMITED) [brak podpisu cyfrowego]
ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN
ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN
ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN
CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN
CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms}
HKU\S-1-5-21-3163778885-1210311764-318980627-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN
HKU\S-1-5-21-3163778885-1210311764-318980627-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN
Edge HomeButtonPage: HKU\S-1-5-21-3163778885-1210311764-318980627-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1458979588&z=9d13cec295b3d2916d0570ag9z1wbb7t0mbt8w6q8t&from=wpm0314&uid=INTELXSSDSC2CT060A3XXXXXXXXXXXXXXXXXXX_CVMP2174036H060AGN
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\HWdMH
C:\Users\Asia\AppData\Roaming\TSv
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść Google Chrome:

Zresetuj synchronizację (o ile włączona): KLIK.
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Przekierowania yoursites123

Rekomendowane odpowiedzi

blyoghurt

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność