Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

robactwo - yoursite123 i inne robactwo

marek003 11 Gru 2015 19:57 594 4
  • #1 11 Gru 2015 19:57
    marek003
    Poziom 40  

    Witam. Widzę że yoursite zbiera żniwo :)

    Do rzeczy:
    Komputer córki (nie wiem ile razy trzeba tłumaczyć by się nie włóczyła po "obcych" stronach).
    Przeskanowany webdoctorem (ok 72 zagrożeń - usuń), malawarebytes (ok 207 zagrożeń - napraw), adwcleaner (na każdej zakładce po trochu - usuń).

    Dalej jakieś ustojstwo siedzi w kompie. Na pewno ten yoursites123. W załączeniu logi z frst'a.

    Jakby któryś z kolegów miał czas i podsunął tekst wsadu do fixa to było by miło.

    Na marginesie jest jakaś strona (najlepiej po polsku) jak się nauczyć pisania tych skryptów na podstawie first.txt i addition.txt?

    0 4
  • CControls
  • Pomocny post
    #2 11 Gru 2015 20:10
    Acorus 20
    Spec od komputerów

    Odinstaluj Akamai NetSession Interface. Otwórz notatnik systemowy i wklej:

    Cytat:
    CustomCLSID: HKU\S-1-5-21-2704708050-431393269-3011475840-1002_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2704708050-431393269-3011475840-1002_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2704708050-431393269-3011475840-1002_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2704708050-431393269-3011475840-1002_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2704708050-431393269-3011475840-1002_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2704708050-431393269-3011475840-1002_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2704708050-431393269-3011475840-1002_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2704708050-431393269-3011475840-1002_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2704708050-431393269-3011475840-1002_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku
    Task: {F1AB1FD5-EDD3-4543-89DF-91DF5FE0FE82} - System32\Tasks\{673D520E-1794-40A4-B388-ADFC3D7ADACB} => Chrome.exe hxxp://ui.skype.com/ui/0/7.8.85.102/pl/abandoninstall?page=tsBing
    Task: {F265E5EC-8AAC-48DA-8D02-F7E11E9E3278} - System32\Tasks\{F62C978F-28DA-4659-8099-57D367A5E8C7} => pcalua.exe -a "C:\Program Files\McAfee Security Scan\uninstall.exe"
    ShortcutWithArgument: C:\Users\Ewelina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Zainstaluj teraz dla programu Autodesk® AutoCAD® 2015.lnk -> C:\Autodesk\AutoCAD_2015_Polish_Win_32-64bit_R1_wi_pl-PL\Setup.exe (Autodesk, Inc.) -> /URL "hxxp://edutrial.autodesk.com/SWDLDNET4/2015/ACD/WI/AutoCAD_2015_Polish_Win_32-64bit_R1_wi_pl-PL_Setup.exe" /skipPI /SN 900-51802800 /PK 001G1 /akamai <==== UWAGA




    HKU\S-1-5-21-2704708050-431393269-3011475840-1002\...\Run: [Akamai NetSession Interface] => C:\Users\Ewelina\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.)
    HKU\S-1-5-21-2704708050-431393269-3011475840-1002\...\Policies\Explorer: []
    HKU\S-1-5-21-2704708050-431393269-3011475840-1002\...\MountPoints2: {62a25625-2fb9-11e5-8336-94de806e2939} - "J:\HTC_Sync_Manager_PC.exe"
    ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku
    ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku
    ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku
    ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku
    ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku
    ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku
    ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku
    ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Ewelina\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku
    ShellIconOverlayIdentifiers-x32: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
    ShellIconOverlayIdentifiers-x32: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
    ShellIconOverlayIdentifiers-x32: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
    ShellIconOverlayIdentifiers-x32: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
    ShellIconOverlayIdentifiers-x32: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
    ShellIconOverlayIdentifiers-x32: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
    ShellIconOverlayIdentifiers-x32: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
    ShellIconOverlayIdentifiers-x32: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1...p;uid=ST1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1...p;uid=ST1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1...p;uid=ST1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1...p;uid=ST1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKU\S-1-5-21-2704708050-431393269-3011475840-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&...T1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V&q={searchTerms}
    HKU\S-1-5-21-2704708050-431393269-3011475840-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms}
    HKU\S-1-5-21-2704708050-431393269-3011475840-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&...T1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V&q={searchTerms}
    HKU\S-1-5-21-2704708050-431393269-3011475840-1002\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://pl.msn.com/
    HKU\S-1-5-21-2704708050-431393269-3011475840-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1...p;uid=ST1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V
    HKU\S-1-5-21-2704708050-431393269-3011475840-1002\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
    HKU\S-1-5-21-2704708050-431393269-3011475840-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1...p;uid=ST1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&...T1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2704708050-431393269-3011475840-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&...T1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2704708050-431393269-3011475840-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&...T1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2704708050-431393269-3011475840-1002 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
    StartMenuInternet: IEXPLORE.EXE - iexplore.exe
    FF NewTab: hxxp://www.yoursites123.com/newtab/?type=nt&a...p;uid=ST1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V
    FF Homepage: hxxp://www.yoursites123.com/?type=hp&ts=1...p;uid=ST1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V
    StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1...p;uid=ST1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V
    CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449838223&z=52edf39bc303535444cef5fg2z8zbt9bdcfb4ocodz&from=ient07021&uid=ST1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V"
    CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&...T1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> yoursites123
    StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1...p;uid=ST1000DM003-1CH162_S1DCTD8VXXXXS1DCTD8V
    R2 WdMan; C:\ProgramData\rWdMr\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [Brak podpisu cyfrowego]
    S3 gdrv; \??\C:\Windows\gdrv.sys [X]
    2015-12-11 13:52 - 2015-12-11 13:53 - 00000000 ____D C:\ProgramData\rWdMr
    2015-12-11 19:10 - 2014-11-23 13:21 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • CControls
  • #3 11 Gru 2015 20:29
    marek003
    Poziom 40  

    :please: Jesteś wielki :please: Gratuluje wiedzy - nie mogłem sobie z tym poradzić.

    Dziękuję bardzo w swoim i córki imieniu :) .

    Przysiadam analizować jak napisałeś ten skrypt :) może coś w końcu zrozumiem :)

    0
  • Pomocny post
    #4 11 Gru 2015 20:31
    Acorus 20
    Spec od komputerów

    Skasuj folder C:\FRST.

    0
  • #5 11 Gru 2015 20:39
    marek003
    Poziom 40  

    Już kasuję.
    Widzę że w środku tego folderu były jeszcze jakieś zapisy z przed roku. Nie mniej skasowałem wszystko.
    Jeszcze raz dzięki.


    dodane po czasie
    -----------------------------------------
    Wydaje mi się że już wiem (przeanalizowałem) na czym to (skrypt) polega.
    Jak się okazuje nie jest to dość skomplikowane - zostawić to co chce się usunąć.
    Pozostaje kwestią wiedzy "własnej" co usuwać, a co zostawić :) I tu jest ten słynny sęk lub ewentualnie pies pochowany :).

    0