Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

PanDawcio

YAC Problem

Rekomendowane odpowiedzi

Witam

Jak w temacie mam wirusa YAC z którym nie moge sobie poradzić. Poczytałem troche o nim i próbowałem go usunac z pomoca innych tematow na forum jednak nie przynosilo to skutku dlatego postanowilem utworzyc swoj. Używałem cc cleanera i nic. Scgiagnąłem również adwcleanera, który wykrył owe zagrozenie jednak podczas proby jego usuwania zawiesza sie .... Mam anty wirusa Panda ktory caly czas informuje mnie o tym wirusie. Prosze o pomoc jednak ostrzegam ze jestem zielony w tych sprawach.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Załącz wymagane logi z FRST. Przed skanowaniem w ustawieniach FRST (w sekcji skan opcjonalny) zaznacz tylko Shortcut.txt i Addition.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Niestety po sciagnieciu programu wyskakuje blad systemu i nie moge go zainstalowac

Edit : Sciagany plik jest uznawany przez mojego antwirusa za plik ktory wirusy zawiera i go blokuje. Wylaczyc antywira czy co mam robic ?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Wyłącz antywirusa na czas pobierania, plik jest bezpieczny. Nie tylko Panda blokuje pobieranie tego pliku.

Edit: ja też mam Pandę na uruchomionym systemie (Free Antivirus 2016) ale u mnie nie blokuje pobierania (na końcu wyświetla się tylko komunikat że nie można zweryfikować wydawcy). Blokuje (w sensie ostrzega przed szkodliwością) za to włączony filtr SmartScreen w Internet Explorer 11.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Na początek spróbuj odinstalować przez Panel Sterowania poniższe adware:

PriceFountain (HKU\S-1-5-21-3464983489-387269366-2543354040-1000\...\ChaferSaveable) (Version: - ) <==== UWAGA

SafeFinder (HKLM-x32\...\{F730EE43-0ADA-49C0-AE51-34000BBEAAD7}) (Version: 1.0.0.0 - Linkury) <==== UWAGA

Uncheckit (HKLM-x32\...\Uncheckit) (Version: 2.1.9 - EVANGEL TECHNOLOGY (HK) LIMITED) <==== UWAGA

Update for PriceFountain (HKU\S-1-5-21-3464983489-387269366-2543354040-1000\...\{465F705B-F158-A260-EBAC-5C963CE9FB4E}) (Version: - Update for PriceFountain) <==== UWAGA

WinZip (HKLM-x32\...\WinZip) (Version: 2.2.74 - Winzipper Pvt Ltd.) <==== UWAGA

YAC(Yet Another Cleaner!) (HKLM-x32\...\iSafe) (Version: - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== UWAGA

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

udalo sie odinstalowac wszystko oprocz YAC, gdy probuje usunac plik nic sie nie dzieje

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Otwórz notatnik systemowy i wklej do niego poniższą zawartość:

CloseProcesses:
CreateRestorePoint:
Task: {028DF2F8-C895-483D-8F88-B04A7D7EEB56} - \Adobe Flash Player Updater -> Brak pliku <==== UWAGA
Task: {0D9D55D7-0E25-4898-BA38-321B3B0DECDB} - \GoogleUpdateTaskMachineCore -> Brak pliku <==== UWAGA
Task: {12738179-28B8-4AD6-AA2F-F590454189A4} - \kompChaferSaveableV2 -> Brak pliku <==== UWAGA
Task: {2A5F8859-7D4E-40FF-BB86-DAAE5221C50B} - \{D8EDB7C3-FE63-434E-8FF1-E4DD39E14123} -> Brak pliku <==== UWAGA
Task: {338E7EB7-EDA4-4023-A731-230DA60DFFBB} - \Browser Updater Task(Core) -> Brak pliku <==== UWAGA
Task: {34A0AEB3-1219-4404-A252-4517DB4E6221} - \ChelfNotify Task -> Brak pliku <==== UWAGA
Task: {5CA6451D-E180-4498-84F7-B7D6B08AC973} - \HipfatUpdateTaskMachineCore -> Brak pliku <==== UWAGA
Task: {6AB5289E-39ED-4362-9916-EC3EC76FCD03} - \UncheckitUpdateTaskC -> Brak pliku <==== UWAGA
Task: {7DC83890-6520-478C-AFB2-FF08B62A628E} - \GoogleUpdateTaskMachineUA -> Brak pliku <==== UWAGA
Task: {7EA231CE-9760-4839-8B66-E5CD0550A369} - \HipbearUpdateTaskMachineCore -> Brak pliku <==== UWAGA
Task: {86665320-125D-44E7-951A-7BB274DF06EB} - \HipfatUpdateTaskMachineUA -> Brak pliku <==== UWAGA
Task: {C6439C45-9D42-4B02-A733-82E05995FF76} - \HipbearUpdateTaskMachineUA -> Brak pliku <==== UWAGA
Task: {CAFC9E44-BF8F-448E-89D1-A4B0367AA48B} - \UncheckitUpdateTaskDB -> Brak pliku <==== UWAGA
Task: {EF7F76C3-F654-4D12-A28A-2DB7B41A4F2D} - \UncheckitTaskMN -> Brak pliku <==== UWAGA
Task: {F412EEAD-8E93-4327-82C2-238CFB0D6254} - \{C199975E-18EE-4CA6-A83F-8A75EF2BC059} -> Brak pliku <==== UWAGA
Task: {33B69371-17F0-444C-A5DC-2EDF47A15F75} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => %SystemRoot%\ehome\ehrec [Argument = /RestartRecording]
Task: {BE64ADC6-5802-45A5-827D-751B1E936928} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => %SystemRoot%\ehome\mcupdate [Argument = $(Arg0)]
ShortcutWithArgument: C:\Users\komp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursearchweb.com/?type=sc&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932
ShortcutWithArgument: C:\Users\komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.nuesearch.com/?type=sc&ts=1470215998&z=5af8f2b1af5cc65a6378f50g4zdmce7odg3q0ece2o&from=wpm0802&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932
2016-06-08 14:22 - 2016-05-23 04:37 - 00065696 ____N () C:\Program Files (x86)\Elex-tech\YAC\zlib1.dll
2016-06-08 14:22 - 2016-05-23 04:37 - 00179200 ____N () C:\Program Files (x86)\Elex-tech\YAC\libpng.dll
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NanoServiceMain => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSUAService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NanoServiceMain => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PSUAService => ""="Service"
HKU\S-1-5-21-3464983489-387269366-2543354040-1000\Software\Classes\regfile: regedit.exe "%1" <===== UWAGA
HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
HKU\S-1-5-18\...\Policies\Explorer: [NoSaveSettings] 0
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursearchweb.com/?type=hp&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursearchweb.com/?type=hp&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursearchweb.com/search/?type=ds&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursearchweb.com/search/?type=ds&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursearchweb.com/?type=hp&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursearchweb.com/?type=hp&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursearchweb.com/search/?type=ds&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursearchweb.com/search/?type=ds&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932&q={searchTerms}
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com/?type=hp&ts=1450273734&from=mych123&uid=wdcxwd10ears-00y5b1_wd-wcav5s56793267932&z=14a209ef829f41e306e707cgazdwbe4ofmbcam0c6q
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com/?type=hp&ts=1450273734&from=mych123&uid=wdcxwd10ears-00y5b1_wd-wcav5s56793267932&z=14a209ef829f41e306e707cgazdwbe4ofmbcam0c6q
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com/?type=hp&ts=1450273734&from=mych123&uid=wdcxwd10ears-00y5b1_wd-wcav5s56793267932&z=14a209ef829f41e306e707cgazdwbe4ofmbcam0c6q
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com/?type=hp&ts=1450273734&from=mych123&uid=wdcxwd10ears-00y5b1_wd-wcav5s56793267932&z=14a209ef829f41e306e707cgazdwbe4ofmbcam0c6q
HKU\S-1-5-21-3464983489-387269366-2543354040-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPZ0bVbycuJyDSV__kaJkcLi7GZ8RQ7gj7OzqAxXTjOA9r5I-r5a4-DSLcw37K6X38tlYXCHTO5jQ232hqIt68p_6ZIW3D-wkOEJATRUdtO7vadUgV1VY9f_0vM__BCSfgQSGC69QOHMj0mT3QUMQyitCQHtDmB&q={searchTerms}
HKU\S-1-5-21-3464983489-387269366-2543354040-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursearchweb.com/?type=hp&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932
HKU\S-1-5-21-3464983489-387269366-2543354040-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursearchweb.com/?type=hp&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932
HKU\S-1-5-21-3464983489-387269366-2543354040-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.msn.com/?pc=SL5M&ocid=SL5MDHP&osmkt=pl-pl
HKU\S-1-5-21-3464983489-387269366-2543354040-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPZ0bVbycuJyDSV__kaJkcLi7GZ8RQ7gj7OzqAxXTjOA9r5I-r5a4-DSLcw37K6X38tlYXCHTO5jQ232hqIt68p_6ZIW3D-wkOEJATRUdtO7vadUgV1VY9f_0vM__BCSfgQSGC69QOHMj0mT3QUMQyitCQHtDmB&q={searchTerms}
HKU\S-1-5-21-3464983489-387269366-2543354040-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPZ0bVbycuJyDSV__kaJkcLi7GZ8RQ7gj7OzqAxXTjOA9r5I-r5a4-DSLcw37K6X38tlYXCHTO5jQ232hqIt68p_6ZIW3D-wkOEJATRUdtO7vadUgV1VY9f_0vM__BCSfgQSGC69QOHMj0mT3QUMQyitCQHtDmB&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursearchweb.com/search/?type=ds&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursearchweb.com/search/?type=ds&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPZ0bVbycuJyDSV__kaJkcLi7GZ8RQ7gj7OzqAxXTjOA9r5I-r5a4-DSLcw37K6X38tlYXCHTO5jQ232hqIt68p_6ZIW3D-wkOEJATRUdtO7vadUgV1VY9f_0vM__BCSfgQSGC69QOHMj0mT3QUMQyitCQHtDmB&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursearchweb.com/search/?type=ds&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932&q={searchTerms}
SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450273734&from=zzgbkk123&uid=wdcxwd10ears-00y5b1_wd-wcav5s56793267932&z=14a209ef829f41e306e707cgazdwbe4ofmbcam0c6q&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3464983489-387269366-2543354040-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPZ0bVbycuJyDSV__kaJkcLi7GZ8RQ7gj7OzqAxXTjOA9r5I-r5a4-DSLcw37K6X38tlYXCHTO5jQ232hqIt68p_6ZIW3D-wkOEJATRUdtO7vadUgV1VY9f_0vM__BCSfgQSGC69QOHMj0mT3QUMQyitCQHtDmB&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3464983489-387269366-2543354040-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3464983489-387269366-2543354040-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470727896&z=03602d2995fdb87c9efdcabg5z3m5e1mco4mdbbt0q&from=wpm0808&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3464983489-387269366-2543354040-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450273734&from=zzgbkk123&uid=wdcxwd10ears-00y5b1_wd-wcav5s56793267932&z=14a209ef829f41e306e707cgazdwbe4ofmbcam0c6q&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3464983489-387269366-2543354040-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPZ0bVbycuJyDSV__kaJkcLi7GZ8RQ7gj7OzqAxXTjOA9r5I-r5a4-DSLcw37K6X38tlYXCHTO5jQ232hqIt68p_6ZIW3D-wkOEJATRUdtO7vadUgV1VY9f_0vM__BCSfgQSGC69QOHMj0mT3QUMQyitCQHtDmB&q={searchTerms}
FF NewTab: hxxp://www.attirerpage.com/newtab/?type=nt&ts=1466150495&z=fabe6271167d5701836b044g6z8q8qfgawdedzft2t&from=wpm0616&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932
FF DefaultSearchEngine: findit
FF SelectedSearchEngine: V9 
FF Homepage: hxxp://www.yoursearchweb.com/?type=hp&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
FF SearchPlugin: C:\Users\komp\AppData\Roaming\Mozilla\Firefox\Profiles\5n9asvc9.default\searchplugins\findit.xml [2016-05-26]
FF SearchPlugin: C:\Users\komp\AppData\Roaming\Mozilla\Firefox\Profiles\5n9asvc9.default\searchplugins\nice.xml [2016-07-18]
FF SearchPlugin: C:\Users\komp\AppData\Roaming\Mozilla\Firefox\Profiles\5n9asvc9.default\searchplugins\nuesearch.xml [2016-07-19]
FF SearchPlugin: C:\Users\komp\AppData\Roaming\Mozilla\Firefox\Profiles\5n9asvc9.default\searchplugins\yoursearchweb.xml [2016-06-15]
FF Extension: xRocket Toolbar - C:\Users\komp\AppData\Roaming\Mozilla\Firefox\Profiles\5n9asvc9.default\Extensions\arthurj8283@gmail.com [2016-07-18] [brak podpisu cyfrowego]
FF Extension: Default NewTab - C:\Users\komp\AppData\Roaming\Mozilla\Firefox\Profiles\5n9asvc9.default\Extensions\default_newtabff@gmail.com [2016-06-15] [brak podpisu cyfrowego]
FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\komp\AppData\Roaming\Mozilla\Firefox\Profiles\5n9asvc9.default\extensions\default_newtabff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\komp\AppData\Roaming\Mozilla\Firefox\Profiles\5n9asvc9.default\extensions\arthurj8283@gmail.com
CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl
CHR StartupUrls: Default -> "hxxp://www.yoursearchweb.com/?type=hp&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932"
CHR DefaultSearchURL: Default -> hxxp://www.yoursearchweb.com/search/?type=ds&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932&q={searchTerms}
CHR DefaultSearchKeyword: Default -> yoursearchweb
CHR HKU\S-1-5-21-3464983489-387269366-2543354040-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)
S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)
U4 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda)
C:\Program Files (x86)\Elex-tech
C:\Users\komp\AppData\Roaming\Elex-tech
C:\Windows\System32\DRIVERS\iSafeNetFilter.sys
C:\Windows\system32\Drivers\iSafeKrnlBoot.sys
U3 DfSdkS; Brak ImagePath
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Elex-tech
DeleteKey: HKU\.DEFAULT\Software\Elex-tech
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
C:\Windows\SysWOW64\*.html
Hosts:
EmptyTemp:

 

Plik zapisz jako fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w nim na Napraw. Na zakończenie naprawy narzędzie poprosi o restart systemu.

Po restarcie uruchom AdwCleaner. Najpierw kliknij na Skanuj, a po zakończeniu, gdy się uaktywni, kliknij na Usuń. Na koniec również restart systemu.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jak juz wspominalem jestem zielony wiec mam kilka pytan przed rozpoczeciem "pracy". Notatnik systemowy to nic innego jak zwykly notatnik tak ? i obok FRST tzn gdzie ? tam gdzie jest ten program zainstalowany ?

Edit : Gdy zapisuje plik jako fixlist wyskakuje komunikat ktory mowi o tym ze plik zawiera znaki w takim formacie (UNICODE) i moga one zostac utracone gdy probuje je zapisac w formacie ANSI

Prosze o pomoc bo nie wiem co robic

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Notatnik systemowy to nic innego jak zwykly notatnik tak ? i obok FRST tzn gdzie ? tam gdzie jest ten program zainstalowany ?

Edit : Gdy zapisuje plik jako fixlist wyskakuje komunikat ktory mowi o tym ze plik zawiera znaki w takim formacie (UNICODE) i moga one zostac utracone gdy probuje je zapisac w formacie ANSI

Tak, zwykły notatnik, umieść obok FRST czyli w tym samym folderze co plik FRST. Jako kodowanie wybierz Unicode, skoro wyskakuje komunikat o znakach w tym formacie. U mnie na windows 7 nie wyskakuje powyższy komunikat. Pokaż raport z naprawy Fixlog.txt po restarcie systemu kończącym naprawę. Będzie w tym samym folderze co FRST.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Pobierz od nowa plik FRST64.exe. Przed jego pobraniem i uruchomieniem wyłącz antywirusa.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

po wcisnieciu napraw wyskakuje komunikat ze plik fixlist nie zostal znaleziony, a znajduje sie on na dysku c w folderze frst -> logs

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

po wcisnieciu napraw wyskakuje komunikat ze plik fixlist nie zostal znaleziony

Jest tylko 1 możliwość. Fixlist.txt nie jest w tym samym folderze co FRST64.exe. W C:\FRST\Logs są (domyślnie) tylko logi ze skanowania i z naprawy.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Po restarcie uruchom AdwCleaner. Najpierw kliknij na Skanuj, a po zakończeniu, gdy się uaktywni, kliknij na Usuń. Na koniec również restart systemu.

Wykonaj to a po restarcie zrób nowe logi (FRST.txt i Addition.txt). Daj też log z usuwania w AdwCleaner.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Do notatnika wklej poniższą zawartość:

2016-06-08 14:22 - 2016-05-23 04:37 - 00065696 ____N () C:\Program Files (x86)\Elex-tech\YAC\zlib1.dll
2016-06-08 14:22 - 2016-05-23 04:37 - 00179200 ____N () C:\Program Files (x86)\Elex-tech\YAC\libpng.dll
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NanoServiceMain => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSUAService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NanoServiceMain => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PSUAService => ""="Service"
KLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursearchweb.com/?type=hp&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursearchweb.com/?type=hp&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursearchweb.com/search/?type=ds&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursearchweb.com/search/?type=ds&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPZ0bVbycuJyDSV__kaJkcLi7GZ8RQ7gj7OzqAxXTjOA9r5I-r5a4-DSLcw37K6X38tlYXCHTO5jQ232hqIt68p_6ZIW3D-wkOEJATRUdtO7vadUgV1VY9f_0vM__BCSfgQSGC69QOHMj0mT3QUMQyitCQHtDmB&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursearchweb.com/search/?type=ds&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932&q={searchTerms}
SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450273734&from=zzgbkk123&uid=wdcxwd10ears-00y5b1_wd-wcav5s56793267932&z=14a209ef829f41e306e707cgazdwbe4ofmbcam0c6q&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3464983489-387269366-2543354040-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3464983489-387269366-2543354040-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470727896&z=03602d2995fdb87c9efdcabg5z3m5e1mco4mdbbt0q&from=wpm0808&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3464983489-387269366-2543354040-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450273734&from=zzgbkk123&uid=wdcxwd10ears-00y5b1_wd-wcav5s56793267932&z=14a209ef829f41e306e707cgazdwbe4ofmbcam0c6q&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3464983489-387269366-2543354040-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPZ0bVbycuJyDSV__kaJkcLi7GZ8RQ7gj7OzqAxXTjOA9r5I-r5a4-DSLcw37K6X38tlYXCHTO5jQ232hqIt68p_6ZIW3D-wkOEJATRUdtO7vadUgV1VY9f_0vM__BCSfgQSGC69QOHMj0mT3QUMQyitCQHtDmB&q={searchTerms}
FF NewTab: hxxp://www.attirerpage.com/newtab/?type=nt&ts=1466150495&z=fabe6271167d5701836b044g6z8q8qfgawdedzft2t&from=wpm0616&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932
FF DefaultSearchEngine: findit
FF SelectedSearchEngine: V9 
FF Homepage: hxxp://www.yoursearchweb.com/?type=hp&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932
CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl
CHR StartupUrls: Default -> "hxxp://www.yoursearchweb.com/?type=hp&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932"
CHR DefaultSearchURL: Default -> hxxp://www.yoursearchweb.com/search/?type=ds&ts=1465993053&z=5efe6589cf7b2239340c57dg3z1qfw7t3tfc8ebq1w&from=wpm0614&uid=WDCXWD10EARS-00Y5B1_WD-WCAV5S56793267932&q={searchTerms}
CHR DefaultSearchKeyword: Default -> yoursearchweb
R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)
R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda)
S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
2016-08-12 22:45 - 2016-05-19 08:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\iSafeNetFilter.sys
2016-08-11 16:09 - 2016-03-17 14:27 - 00000000 ____D C:\Windows\SysWOW64\_tWm
2016-08-11 16:08 - 2016-06-24 12:26 - 00000000 ____D C:\Windows\SysWOW64\_TSpm
2016-08-11 16:07 - 2016-07-12 11:03 - 00000000 ____D C:\Windows\SysWOW64\_SSpm
2016-08-11 15:48 - 2016-05-03 15:48 - 00000000 ____D C:\Users\komp\AppData\Roaming\{465F705B-F158-A260-EBAC-5C963CE9FB4E}
2016-07-29 09:37 - 2016-07-29 09:37 - 02964374 _____ (Update) C:\Program Files (x86)\SSFK.exe
2016-07-26 12:54 - 2016-07-26 12:54 - 00000000 ____D C:\Program Files (x86)\efh5bf64
C:\Users\komp\AppData\Roaming\*.*
EmptyTemp:

 

Plik zapisz jako fixlist.txt i umieść obok FRST64.exe. Uruchom system w trybie awaryjnym, następnie uruchom FRST64.exe i kliknij w Napraw. Pokaż Fixlog.txt po restarcie systemu.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Sądząc po logu z naprawy usługi i sterowniki związane z YAC zostały usunięte z systemu. Antywirus znajduje nadal zagrożenie?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

narazie (pol h po wlaczeniu komputera) bez skanowania nie wyskakje zaden komunikat z antywirsua jednak zaznacze ze folder na dysku c:\pliki programów\Elex-tech\ dalej istnieje i znajduje sie w nim aplikacja yaccleaner jednak sadzac po zapisach z menadzera zadan wydanosc komputera wzrosla zobaczymy co sie dzisiaj jeszcze przytrafii oczywiscie bardzo dziekuje ale prosilbym na wszelki wypadek o nie zamykanie tematu przez najlblizszy czas

dobrze wiedziec ze sa na tym swiecie dobrzy ludzie

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Możesz usunąć ręcznie wszystkie znalezione na partycji C foldery z Elex-tech w nazwie. Z logów wynika że będą to na pewno C:\Program Files (x86)\Elex-tech i C:\Users\komp\AppData\Roaming\Elex-tech. Tego drugiego może nie być, jeśli został wcześniej skutecznie usunięty przez AdwCleaner.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

na przzyszłość malwarebytes anti-malware czyści wszystko związane z YACiem.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...