x-kom hosting

Prośba o pomoc w usunięciu - Yoursites123

Kerm
utworzono
utworzono

Witam, bardzo proszę o pomoc w usunięciu. Poniżej logi:

 

[attachment=45416:FRST_11-12-2015_10-29-45.txt]

[attachment=45417:Addition_11-12-2015_10-29-45.txt]

 

Z góry dziękuję!

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)
2015-11-30 17:12 - 2015-12-04 08:43 - 00000000 ____D C:\ProgramData\1WMiniPro1
2015-11-30 17:12 - 2015-11-30 17:13 - 00000000 ____D C:\Users\Przemek\AppData\Roaming\yoursearching
2015-11-30 17:07 - 2015-12-11 10:02 - 00000074 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-11-30 17:07 - 2015-11-30 17:11 - 00000000 ____D C:\Users\Przemek\AppData\Roaming\istartpageing
2015-11-30 17:07 - 2015-11-30 17:08 - 00000000 ____D C:\ProgramData\3WMiniPro3
2015-11-30 17:06 - 2015-11-30 17:06 - 01709792 _____ (Disc Soft Ltd.) C:\Users\Przemek\Desktop\DTLiteInstaller.exe
2015-11-30 17:06 - 2015-11-30 17:06 - 00962128 _____ (Installer Soft Program ) C:\Users\Przemek\Desktop\DAEMON-Tools-Lite-12708-dp.exe

 

Tu bardzo wyraźnie widać, skąd jest infekcja, wystarczy popatrzyć na datę i godzinę, "dp" oznacza, że plik pochodzi z vortalu "DobreProgramy".

 

Otwórz Notatnik i wklej w nim:

Task: {C557373B-FD75-4205-81FD-5BAFEED83900} - System32\Tasks\{0DF67C37-6D2E-4306-8834-BAB9E170757E} => pcalua.exe -a E:\sterowniki\0qla04ww.exe -d E:\sterowniki
Task: {D0FE8FA1-A076-4E04-833F-F16389740E90} - System32\Tasks\{4E814F73-D47A-4F75-9A98-F15C2A816295} => pcalua.exe -a C:\Users\Przemek\Downloads\Setup.exe -d C:\Users\Przemek\Downloads
ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205 <==== UWAGA
ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205 <==== UWAGA
ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205 <==== UWAGA
ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205 <==== UWAGA
ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205 <==== UWAGA
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205 <==== UWAGA
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205 <==== UWAGA
2015-12-11 10:02 - 2015-10-08 08:28 - 00000000 ____D C:\Users\Przemek\AppData\Roaming\TSv
2015-11-30 17:12 - 2015-12-04 08:43 - 00000000 ____D C:\ProgramData\1WMiniPro1
2015-11-30 17:12 - 2015-11-30 17:13 - 00000000 ____D C:\Users\Przemek\AppData\Roaming\yoursearching
2015-11-30 17:07 - 2015-12-11 10:02 - 00000074 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-11-30 17:07 - 2015-11-30 17:11 - 00000000 ____D C:\Users\Przemek\AppData\Roaming\istartpageing
2015-11-30 17:07 - 2015-11-30 17:08 - 00000000 ____D C:\ProgramData\3WMiniPro3
2015-11-30 17:06 - 2015-11-30 17:06 - 00962128 _____ (Installer Soft Program ) C:\Users\Przemek\Desktop\DAEMON-Tools-Lite-12708-dp.exe
2015-12-11 10:02 - 2015-12-11 10:05 - 00000000 ____D C:\Program Files (x86)\SFK
2015-12-11 10:02 - 2015-12-11 10:03 - 00000000 ____D C:\ProgramData\JWdMJ
2015-12-11 10:02 - 2015-12-11 10:02 - 00000001 _____ C:\Windows\SysWOW64\pl.html
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X]
S1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [X]
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: <公司名>)
R2 WdMan; C:\ProgramData\JWdMJ\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [Brak podpisu cyfrowego]
R2 IhPul; C:\Users\Przemek\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
OPR Extension: (Jungle Net) - C:\Users\Przemek\AppData\Roaming\Opera Software\Opera Stable\Extensions\fcdkelkgjkclmfgcnhkklmfcciiojbcn [2015-06-21]
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205
CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205
CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205"
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205
BHO-x32: Discovery App -> {ba32987d-db80-4ccb-a8bb-f812b5421c0f} -> C:\Program Files (x86)\Discovery App\Extensions\ba32987d-db80-4ccb-a8bb-f812b5421c0f.dll => Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205&q={searchTerms}
HKU\S-1-5-21-42564168-236487803-3464380337-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205
HKU\S-1-5-21-42564168-236487803-3464380337-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205
SearchScopes: HKU\S-1-5-21-42564168-236487803-3464380337-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205&q={searchTerms}
SearchScopes: HKU\S-1-5-21-42564168-236487803-3464380337-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449824529&z=ac240eef93b6dfafc4b8fa7gcz0z1t4b0o1zdw9o5m&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA60205&q={searchTerms}
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM-x32\...\Run: [] => [X]
EmptyTemp:

Plik zapisz pod nazwą [b]fixlist.txt[/b] i umieść obok FRST.exe
Uruchom [b]FRST[/b] i kliknij przycisk [b]Fix[/b] (NAPRAW).


----------------------
Jeśli będzie OK, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.


Jeśli natomiast problem nie zniknie, to przeinstalujesz przeglądarkę, na której to jeszcze będzie.
.
Kerm
komentarz
komentarz

Wielkie dzięki za pomoc!

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.