Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

YAC oraz SpyHunter - jak usunąć?

SR60 08 Lip 2015 12:47 840 8
  • #1 08 Lip 2015 12:47
    SR60
    Poziom 6  

    Dzień dobry,

    mam problem z usunięciem YAC oraz SpyHunter.
    Komputer przeskanowany wcześniej przez MBAM, ADWCleaner, CCLeaner.

    Możliwe, że jest czymś dodatkowo zainfekowany bo często wywala BSOD.

    Logi z FRST:
    http://wklej.org/id/1753387/
    http://wklej.org/id/1753393/

    Proszę o pomoc.
    Pozdrawiam

    0 8
  • CControls
  • #2 08 Lip 2015 12:55
    RADU23
    Moderator - Komputery Serwis

    SR60 napisał:
    Możliwe, że jest czymś dodatkowo zainfekowany bo często wywala BSOD.

    Podaj kod BSOD'a.

    0
  • CControls
  • #3 08 Lip 2015 13:02
    SR60
    Poziom 6  

    Było ich ok 10 różnych.
    Z tego co pamiętam teraz to:
    tdx.sys
    cdrom.sys
    0x0000000a.sys

    0
  • #4 08 Lip 2015 14:12
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    Task: {1D09146A-D1E2-41CF-AC90-0E2C8672ADE0} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-05-12] (Enigma Software Group USA, LLC.)
    HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [7833120 2009-05-23] (Realtek Semiconductor)
    HKLM\...\Run: [Skytel] => C:\Program Files\Realtek\Audio\HDA\Skytel.exe [1833504 2009-05-23] (Realtek Semiconductor Corp.)
    HKLM-x32\...\Run: [Smart File Advisor] => C:\Program Files (x86)\Smart File Advisor\sfa.exe [282384 2015-03-22] (Filefacts.net)
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-1908022918-2487413247-138865860-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com?type=hp&ts=1433408931&a...;z=85f2dddc5414e43391468fegdzec5c0z7ebb2t0c0g
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com?type=hp&ts=1433408931&a...;z=85f2dddc5414e43391468fegdzec5c0z7ebb2t0c0g
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com?type=hp&ts=1433408931&a...;z=85f2dddc5414e43391468fegdzec5c0z7ebb2t0c0g
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com?type=hp&ts=1433408931&a...;z=85f2dddc5414e43391468fegdzec5c0z7ebb2t0c0g
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=14352207...1f6cbf14664d91f968cg3zbc6w4o5o2e0mez6g&q={searchTerms}




    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=14352207...1f6cbf14664d91f968cg3zbc6w4o5o2e0mez6g&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1908022918-2487413247-138865860-1000 -> {BE91F7E6-AC1F-43DA-B4EE-29EBD4AF499C} URL = http://search.yahoo.com/search?fr=chr-greentr...mp;ei=utf-8&ilc=12&type=512435&p={searchTerms}
    FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\2p8e6x0z.default\extensions\arthurj8283@gmail.com
    FF Extension: xRocket Toolbar - C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\2p8e6x0z.default\extensions\arthurj8283@gmail.com [2015-06-25]
    CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
    CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
    R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2015-05-04] (Elex do Brasil Participações Ltda)
    S4 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [1026432 2015-05-12] (Enigma Software Group USA, LLC.)
    S2 AxAutoMntSrv; C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [X]
    S2 StarWindServiceAE; C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X]
    S3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [15920 2015-05-12] (Enigma Software Group USA, LLC.)
    S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-05-12] ()
    R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [260344 2015-05-04] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [108616 2015-05-04] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [50944 2015-05-04] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [102416 2015-05-04] (Elex do Brasil Participações Ltda)
    R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2015-04-17] (Elex do Brasil Participações Ltda)
    U3 auevljpd; No ImagePath
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S3 Ser2pl; system32\DRIVERS\ser2pl64.sys [X]
    2015-07-07 21:51 - 2015-04-17 04:43 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\iSafeNetFilter.sys
    2015-07-07 21:46 - 2015-07-07 21:46 - 00000000 ____D C:\Users\Jacek\AppData\Roaming\Elex-tech
    2015-07-06 16:45 - 2015-07-06 16:45 - 00000000 ____D C:\found.000
    2015-07-07 21:44 - 2015-05-12 18:16 - 00000000 ____D C:\AdwCleaner
    2015-07-06 14:25 - 2015-05-05 10:52 - 00000000 ____D C:\Program Files (x86)\Elex-tech
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix.

    0
  • #6 08 Lip 2015 16:45
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X]
    U3 azcskjgo; No ImagePath
    S1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X]
    S1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X]
    S1 iSafeKrnlR3; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [X]
    S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X]
    DeleteQuarantine:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix. Skasuj folder C:\FRST.

    0
  • #8 08 Lip 2015 18:15
    master-007
    Moderator na urlopie...

    RADU23 napisał:
    Podaj kod BSOD'a.

    SR60 napisał:
    Było ich ok 10 różnych.

    Załącz spakowany plik C:\Windows\Minidump
    Może okazać się, że infekcja to jedno a błędy powodujące BSOD'y to drugie. Wykrycie infekcji miało miejsce w tym samym czasie co początek pojawiania się BSOD'ów? Jeśli działo się to już wcześniej, to mogło być spowodowane problemami sprzętowymi lub uszkodzeniem plików systemowych.

    0