Problem z usunięciem programu YAC z komputera

[ilona]

Witam.

Mój problem polega na usunięciu programu YAC z komputera. Pobrałam go żeby pozbyć się uciążliwych, samoistnie wyświetlających się reklam w przeglądarce. Z reklamami sobie nie poradził a teraz dodatkowo nie mogę go odinstalować. Ponadto każda próba uruchomienia jakiegoś programu czy nawet przeglądarki kończy się komunikatem typu: "program C:\Program Files (x86)\Elex-tech\YAC\iSafeMon.dll nie jest przeznaczony do uruchamiana w systemie Windows albo zawiera błąd. Zainstaluj program ponownie, używając oryginalnego nośnika instalacyjnego, albo skontaktuj się z administratorem systemu luz z dostawcą oprogramowania w celu uzyskania pomocy." lub "Nie można uruchomić określonej usługi ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia."

W załączniku zamieszczam logi.

FRST.txt

Addition.txt

gmer.txt

Shortcut.txt

[picasso]

Są tu dwa problemy:

 

1. Infekcja produkująca reklamy. Zainfekowany jest router a nie Windows. Zakreślone IP jest ukraińskie: KLIK.

 

Tcpip\Parameters: [DhcpNameServer] 91.214.114.41 8.8.8.8

 

Tu nie pomogą żadne skanery uruchomione spod Windows, infekcja jest w innym urządzeniu, Windows tylko przejmuje odgórne ustawienia i będzie to się dziać, dopóki router nie zostanie wyczyszczony.

 

2. Niepożądany YAC, program oszust: KLIK. Jaki jest problem z deinstalacją, czy pokazują się te same błędy co przy uruchamianiu innych programów? Wstępnie tylko wyłączę wszystkie sterowniki i usługi YAC, potem będziemy próbować ponownej deinstalacji.

 

 

 

---

Do przeprowadzenia następujące działania:

 

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
DisableService: iSafeKrnl
DisableService: iSafeKrnlBoot
DisableService: iSafeKrnlKit
DisableService: iSafeKrnlMon
DisableService: iSafeKrnlR3
DisableService: iSafeNetFilter
DisableService: iSafeService
Task: {5EA66749-88DE-4AD2-9A90-42129B47C129} - System32\Tasks\{43FA861D-E698-4107-A680-D93CBE7E0A04} => msiexec.exe /package "C:\Users\Ilona\Downloads\ess_nt64_plk.msi"
Task: {78940FA4-B6F8-4334-A268-ABF6E923057C} - System32\Tasks\{115F3185-6134-4A2D-B8A3-C9CA2EC05BC1} => pcalua.exe -a "C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe"
Task: {78E8B09F-F91F-4EF7-BCF8-92D0911C5221} - System32\Tasks\DriverNavigator Scheduled Scan => C:\Program Files\Easeware\DriverNavigator\DriverNavigator.exe
Task: {F707A69A-9803-4241-BDF3-336F11E6E14E} - System32\Tasks\{C8F8D5B0-3AD4-42E8-9C14-9459EB963F98} => pcalua.exe -a C:\Users\Ilona\Desktop\c793858171kaelisp59.exe -d C:\Users\Ilona\Desktop
Task: C:\Windows\Tasks\DriverNavigator Scheduled Scan.job => C:\Program Files\Easeware\DriverNavigator\DriverNavigator.exe
FF Extension: FF Toolbar - C:\Users\Ilona\AppData\Roaming\Mozilla\Firefox\Profiles\cm3ie8sz.default\Extensions\fftoolbar2014@etech.com [2015-03-24]
FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Ilona\AppData\Roaming\Mozilla\Firefox\Profiles\cm3ie8sz.default\extensions\fftoolbar2014@etech.com
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL =
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy błędy generowane przez YAC ustąpiły.