logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Jak usunąć z Lenovo G50-70 wirusa YAC?

marcinrs1994 13 Lip 2016 00:00 1419 21
REKLAMA
  • #1 15804065
    marcinrs1994
    Poziom 8  
    Posty: 15
    Witam, mam problem z czymś, co nazywa się YAC (yes another cleaner). Zainstalowało mi się to przypadkiem. W menedżerze zadań widnieją 3 procesy związane z tym badziewiem. Ponadto, od jakiegoś czasu po włączeniu laptopa po kilku minutach proces o nazwie "Host usługi: System lokalny" pobiera aż 40-50%" mocy procesora, a konkretnie jeden z plików "svchost.exe". Czy ma to jakiś związek z YAC'em? Jak usunąć tego wirusa i to naprawić? Proszę o pomoc.
  • REKLAMA
  • Pomocny post
    #2 15804095
    RADU23
    VIP Zasłużony dla elektroda
    Posty: 20718
    Pomógł: 2427
    Ocena: 1730
    Wykonaj skanowanie MBAM oraz ADWcleaner i usuń wszystko co wykryją
    https://www.malwarebytes.com/dl-confirm/
    http://www.bleepingcomputer.com/download/adwcleaner/
    Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.
    Uruchom FRST i kliknij "Scan". Wstaw raport FRST i Addition jako załączniki.
  • REKLAMA
  • #3 15804216
    marcinrs1994
    Poziom 8  
    Posty: 15
    Proszę, oto logi.
    Załączniki:
    • FRST.txt (42.64 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Addition.txt (47.33 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • Pomocny post
    #4 15804324
    Domino_2
    Pomocny dla użytkowników
    Posty: 1048
    Pomógł: 315
    Ocena: 99
    Odinstaluj Amazon 1Button App, WinZip i YAC(Yet Another Cleaner!).

    Cytat:

    Task: {3765DD6D-5FD7-4B8E-AF97-F0324254E3AE} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo)
    Task: {90230AF5-8F5E-4960-A86C-94443926ADE4} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-08-18] (Lenovo)
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc2.exe
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeTray.exe
    AppInit_DLLs: C:\PROGRA~2\LENOVO~1\LENOVO~1\bin\SPVC64~1.DLL => Brak pliku
    AppInit_DLLs: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~2.DLL => Brak pliku
    AppInit_DLLs-x32: C:\PROGRA~2\LENOVO~1\LENOVO~1\bin\SPVC32~1.DLL => Brak pliku
    AppInit_DLLs-x32: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~3.DLL => Brak pliku
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-1034748126-584973459-1051557163-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1034748126-584973459-1051557163-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1034748126-584973459-1051557163-1001 -> {EC961B5B-A051-4FBC-9241-E938FA80E6E0} URL =
    FF Plugin HKU\S-1-5-21-1034748126-584973459-1051557163-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [Brak pliku]
    CHR DefaultSearchURL: Default -> hxxp://www.nicesearches.com/search.php?type=ds&ts=1464009547&from=597b0523&uid=st1000lm024xhn-m101mbb_s30yj9dfb05370&z=74e4eeac98eadcef9d3cab1gez1q0zeebect4w0z5m&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> nice
    R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda)
    S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X]
    S3 X6va031; \??\C:\WINDOWS\SysWOW64\Drivers\X6va031 [X]
    S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X]
    2016-07-12 23:38 - 2016-07-12 23:38 - 00000000 ____D C:\Users\Marcin\AppData\Roaming\Elex-tech
    2016-07-12 23:37 - 2016-05-19 08:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys
    2016-07-12 23:35 - 2016-05-26 10:33 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, odpal go i kliknij Fix/Napraw.
  • #5 15804365
    marcinrs1994
    Poziom 8  
    Posty: 15
    Tak zrobię. Ale mam jeszcze jedno pytanie, mianowicie czy tego Amazona i Winzipa usunąć przed czy po fixie? Bo z panelu sterowania nie da rady usunąć YAC'a tak jak radzisz, zawsze staje na 30% i potrzebny jest restart laptopa.
  • Pomocny post
    #6 15804376
    Acorus 20
    Poziom 43  
    Posty: 10541
    Pomógł: 3247
    Ocena: 1063
    Yaca nie usuwaj tylko usuń Amazon 1Button App i WinZip.
  • #7 15804535
    marcinrs1994
    Poziom 8  
    Posty: 15
    Usunąłem Amazona, WinZipa, zrobiłem fixa, ale YAC na dysku jak był tak jest. W menedżerze zadań nadal sa procesy. Co dalej mam zrobić?

    Dodano po 47 [minuty]:

    Dodaje jeszcze raport z fixa.
    Załączniki:
    • Fixlog.txt (8.33 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • Pomocny post
    #8 15804637
    Domino_2
    Pomocny dla użytkowników
    Posty: 1048
    Pomógł: 315
    Ocena: 99
    Spróbuj odinstalować w trybie awaryjnym.

    Po tej próbie załącz nowe logi z FRST ze skanowania już w normalnym trybie.
  • #9 15804657
    marcinrs1994
    Poziom 8  
    Posty: 15
    Ale co mam odinstalować w trybie awaryjnym i jak to zrobić? A czy mogę odinstalować tego YAC'a gdy już zrobiłem tego fixa jakimś programem? Np. Adw lub Revo?
  • REKLAMA
  • #10 15804678
    Acorus 20
    Poziom 43  
    Posty: 10541
    Pomógł: 3247
    Ocena: 1063
    Pokaż nowe logi z FRST.
  • #11 15804684
    marcinrs1994
    Poziom 8  
    Posty: 15
    Proszę, nowe logi.
    Załączniki:
    • FRST.txt (29.48 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Addition.txt (47.53 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • Pomocny post
    #12 15804719
    Acorus 20
    Poziom 43  
    Posty: 10541
    Pomógł: 3247
    Ocena: 1063
    Wykonaj w trybie awaryjnym. Otwórz notatnik systemowy i wklej:
    Cytat:
    CloseProcesses:
    HKLM-x32\...\Run: [ISUSScheduler] => C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe [69632 2004-04-13] (InstallShield Software Corporation)
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-1034748126-584973459-1051557163-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1034748126-584973459-1051557163-1001 -> {EC961B5B-A051-4FBC-9241-E938FA80E6E0} URL =
    CHR DefaultSearchURL: Default -> hxxp://www.nicesearches.com/search.php?type=ds&ts=1464009547&from=597b0523&uid=st1000lm024xhn-m101mbb_s30yj9dfb05370&z=74e4eeac98eadcef9d3cab1gez1q0zeebect4w0z5m&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> nice
    R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)
    S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda)
    2016-07-13 11:44 - 2016-05-23 04:41 - 00055056 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeKrnlBoot.sys
    2016-07-13 10:29 - 2016-07-13 10:29 - 00000000 ____D C:\Users\Marcin\AppData\Roaming\Elex-tech
    2016-07-13 10:29 - 2016-05-19 08:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys
    2016-02-01 10:23 - 2016-02-01 10:23 - 0000005 _____ () C:\Program Files (x86)\is.dat
    2016-02-01 10:24 - 2016-02-01 10:24 - 0016384 _____ () C:\Program Files (x86)\uik.dat
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
  • #13 15804740
    marcinrs1994
    Poziom 8  
    Posty: 15
    Okej ale w trybie awaryjnym będę mieć dostęp do FRST? Może mi Pan jeszcze powiedzieć jak uruchomić tryb awaryjny w systemie Windows 8.1? Nigdy nie pracowałem w tym trybie(tak tak wiem, że to dziwne), ale Pan jest tutaj fachowcem i jeśli mógłby mi to wytłumaczyć to będę bardzo wdzięczny :)
  • #16 15804788
    marcinrs1994
    Poziom 8  
    Posty: 15
    Ok już wiem jak, ale nie pisze nic o tym, jak później wyjść z trybu awaryjnego. Wystarczy później zrobić restart? Przepraszam, że tak Was męczę chłopaki :/
  • #18 15804920
    marcinrs1994
    Poziom 8  
    Posty: 15
    Udało się w trybie awaryjnym usunąć YAC'a. Procesy z menedżera znikły, katalog ręcznie usunąłem.
    Jeszcze mam 2 pytania: czy usunąć folder który pojawił się w C:FRST (waży ponad 700mb) czy zostawić?
    I niestety problem z procesorem nie ustąpił. Nadal prawie cały czas szaleje proces "Host usługi: System lokalny(14)" (zżera cały czas ~40/50% mocy procesora co jest uciążliwe np. przy graniu) :/ Przy rozwinięciu usługi pojawia się proces "svchost.exe" (jest ich sporo, ale ten jeden właśnie hula procesorem). Jego lokalizacja jest prawidłowa tzn. "C/Windows/System32/svchost.exe

    Jakie kroki powinienen podjąć? Wie ktoś? Boję się, że w końcu może mi się spalić procesor..
  • REKLAMA
  • #20 15804957
    marcinrs1994
    Poziom 8  
    Posty: 15
    W sensie w usłudze Windows Update mam wyłączyć aktualizacje? Mam je wyłączone odkąd pamiętam :) A może mi Pan powiedzieć co z katalogiem C:FRST tym który waży ponad 700mbMB? Usunąć czy zostawić?
  • #22 15805063
    marcinrs1994
    Poziom 8  
    Posty: 15
    Zużycie procesora zmalało :) Dzięki wszystkim za pomoc, ale proszę o nie zamykanie tematu jeszcze przez kilka godzin - gdy host usługi znów wzrośnie, to dam znać. Mam jednak nadzieje, ze DelFix rozwiązał ten problem na stałe.

Podsumowanie tematu

✨ Użytkownik zgłosił problem z wirusem YAC (Yet Another Cleaner) na laptopie Lenovo G50-70, który zainstalował się przypadkowo. W odpowiedzi na problem, uczestnicy dyskusji zalecili przeprowadzenie skanowania za pomocą programów Malwarebytes Anti-Malware (MBAM) oraz ADWcleaner, a także użycie narzędzia Farbar Recovery Scan Tool (FRST) do usunięcia złośliwego oprogramowania. Użytkownik został poinstruowany, aby odinstalować inne aplikacje, takie jak Amazon 1Button App i WinZip, oraz usunąć YAC w trybie awaryjnym. Po wykonaniu tych kroków, YAC został usunięty, ale problem z wysokim zużyciem procesora przez proces "Host usługi: System lokalny" pozostał. Użytkownik otrzymał dalsze instrukcje dotyczące użycia programu DelFix do usunięcia pozostałości po narzędziach do dezynfekcji oraz wyłączenia automatycznych aktualizacji. Na koniec użytkownik potwierdził, że zużycie procesora zmalało po zastosowaniu zaleceń.
Podsumowanie wygenerowane przez AI na podstawie treści dyskusji.
REKLAMA