Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Lenovo G50-70 - wirus YAC

marcinrs1994 13 Lip 2016 00:00 699 21
  • #1 13 Lip 2016 00:00
    marcinrs1994
    Poziom 6  

    Witam, mam problem z czymś, co nazywa się YAC (yes another cleaner). Zainstalowało mi się to przypadkiem. W menedżerze zadań widnieją 3 procesy związane z tym badziewiem. Ponadto, od jakiegoś czasu po włączeniu laptopa po kilku minutach proces o nazwie "Host usługi: System lokalny" pobiera aż 40-50%" mocy procesora, a konkretnie jeden z plików "svchost.exe". Czy ma to jakiś związek z YAC'em? Jak usunąć tego wirusa i to naprawić? Proszę o pomoc.

    0 21
  • CControls
  • Pomocny post
    #2 13 Lip 2016 00:29
    RADU23
    Moderator - Komputery Serwis

    Wykonaj skanowanie MBAM oraz ADWcleaner i usuń wszystko co wykryją
    https://www.malwarebytes.com/dl-confirm/
    http://www.bleepingcomputer.com/download/adwcleaner/
    Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.
    Uruchom FRST i kliknij "Scan". Wstaw raport FRST i Addition jako załączniki.

    0
  • Pomocny post
    #4 13 Lip 2016 08:50
    Domino_2
    Pomocny dla użytkowników

    Odinstaluj Amazon 1Button App, WinZip i YAC(Yet Another Cleaner!).

    Cytat:

    Task: {3765DD6D-5FD7-4B8E-AF97-F0324254E3AE} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo)
    Task: {90230AF5-8F5E-4960-A86C-94443926ADE4} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-08-18] (Lenovo)
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc2.exe
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeTray.exe
    AppInit_DLLs: C:\PROGRA~2\LENOVO~1\LENOVO~1\bin\SPVC64~1.DLL => Brak pliku
    AppInit_DLLs: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~2.DLL => Brak pliku
    AppInit_DLLs-x32: C:\PROGRA~2\LENOVO~1\LENOVO~1\bin\SPVC32~1.DLL => Brak pliku
    AppInit_DLLs-x32: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~3.DLL => Brak pliku
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-1034748126-584973459-1051557163-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1034748126-584973459-1051557163-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1034748126-584973459-1051557163-1001 -> {EC961B5B-A051-4FBC-9241-E938FA80E6E0} URL =
    FF Plugin HKU\S-1-5-21-1034748126-584973459-1051557163-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [Brak pliku]
    CHR DefaultSearchURL: Default -> hxxp://www.nicesearches.com/search.php?type=d...eeac98eadcef9d3cab1gez1q0zeebect4w0z5m&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> nice
    R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda)
    S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X]
    S3 X6va031; \??\C:\WINDOWS\SysWOW64\Drivers\X6va031 [X]
    S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X]
    2016-07-12 23:38 - 2016-07-12 23:38 - 00000000 ____D C:\Users\Marcin\AppData\Roaming\Elex-tech
    2016-07-12 23:37 - 2016-05-19 08:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys
    2016-07-12 23:35 - 2016-05-26 10:33 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, odpal go i kliknij Fix/Napraw.

    0
  • CControls
  • #5 13 Lip 2016 09:12
    marcinrs1994
    Poziom 6  

    Tak zrobię. Ale mam jeszcze jedno pytanie, mianowicie czy tego Amazona i Winzipa usunąć przed czy po fixie? Bo z panelu sterowania nie da rady usunąć YAC'a tak jak radzisz, zawsze staje na 30% i potrzebny jest restart laptopa.

    0
  • Pomocny post
    #6 13 Lip 2016 09:15
    Acorus 20
    Spec od komputerów

    Yaca nie usuwaj tylko usuń Amazon 1Button App i WinZip.

    0
  • #7 13 Lip 2016 11:23
    marcinrs1994
    Poziom 6  

    Usunąłem Amazona, WinZipa, zrobiłem fixa, ale YAC na dysku jak był tak jest. W menedżerze zadań nadal sa procesy. Co dalej mam zrobić?

    Dodano po 47 [minuty]:

    Dodaje jeszcze raport z fixa.

    0
  • Pomocny post
    #8 13 Lip 2016 11:33
    Domino_2
    Pomocny dla użytkowników

    Spróbuj odinstalować w trybie awaryjnym.

    Po tej próbie załącz nowe logi z FRST ze skanowania już w normalnym trybie.

    0
  • #9 13 Lip 2016 11:46
    marcinrs1994
    Poziom 6  

    Ale co mam odinstalować w trybie awaryjnym i jak to zrobić? A czy mogę odinstalować tego YAC'a gdy już zrobiłem tego fixa jakimś programem? Np. Adw lub Revo?

    0
  • #10 13 Lip 2016 12:01
    Acorus 20
    Spec od komputerów

    Pokaż nowe logi z FRST.

    0
  • Pomocny post
    #12 13 Lip 2016 12:26
    Acorus 20
    Spec od komputerów

    Wykonaj w trybie awaryjnym. Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    HKLM-x32\...\Run: [ISUSScheduler] => C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe [69632 2004-04-13] (InstallShield Software Corporation)
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-1034748126-584973459-1051557163-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1034748126-584973459-1051557163-1001 -> {EC961B5B-A051-4FBC-9241-E938FA80E6E0} URL =
    CHR DefaultSearchURL: Default -> hxxp://www.nicesearches.com/search.php?type=d...74e4eeac98eadcef9d3cab1gez1q0zeebect4w0z5m&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> nice
    R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)
    S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda)
    2016-07-13 11:44 - 2016-05-23 04:41 - 00055056 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeKrnlBoot.sys
    2016-07-13 10:29 - 2016-07-13 10:29 - 00000000 ____D C:\Users\Marcin\AppData\Roaming\Elex-tech
    2016-07-13 10:29 - 2016-05-19 08:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys
    2016-02-01 10:23 - 2016-02-01 10:23 - 0000005 _____ () C:\Program Files (x86)\is.dat
    2016-02-01 10:24 - 2016-02-01 10:24 - 0016384 _____ () C:\Program Files (x86)\uik.dat
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #13 13 Lip 2016 12:37
    marcinrs1994
    Poziom 6  

    Okej ale w trybie awaryjnym będę mieć dostęp do FRST? Może mi Pan jeszcze powiedzieć jak uruchomić tryb awaryjny w systemie Windows 8.1? Nigdy nie pracowałem w tym trybie(tak tak wiem, że to dziwne), ale Pan jest tutaj fachowcem i jeśli mógłby mi to wytłumaczyć to będę bardzo wdzięczny :)

    0
  • #16 13 Lip 2016 13:04
    marcinrs1994
    Poziom 6  

    Ok już wiem jak, ale nie pisze nic o tym, jak później wyjść z trybu awaryjnego. Wystarczy później zrobić restart? Przepraszam, że tak Was męczę chłopaki :/

    0
  • Pomocny post
    #17 13 Lip 2016 13:17
    krzychupar
    Poziom 41  

    Klikasz Start i Uruchom ponownie.

    0
  • #18 13 Lip 2016 14:07
    marcinrs1994
    Poziom 6  

    Udało się w trybie awaryjnym usunąć YAC'a. Procesy z menedżera znikły, katalog ręcznie usunąłem.
    Jeszcze mam 2 pytania: czy usunąć folder który pojawił się w C:FRST (waży ponad 700mb) czy zostawić?
    I niestety problem z procesorem nie ustąpił. Nadal prawie cały czas szaleje proces "Host usługi: System lokalny(14)" (zżera cały czas ~40/50% mocy procesora co jest uciążliwe np. przy graniu) :/ Przy rozwinięciu usługi pojawia się proces "svchost.exe" (jest ich sporo, ale ten jeden właśnie hula procesorem). Jego lokalizacja jest prawidłowa tzn. "C/Windows/System32/svchost.exe

    Jakie kroki powinienen podjąć? Wie ktoś? Boję się, że w końcu może mi się spalić procesor..

    0
  • #20 13 Lip 2016 14:23
    marcinrs1994
    Poziom 6  

    W sensie w usłudze Windows Update mam wyłączyć aktualizacje? Mam je wyłączone odkąd pamiętam :) A może mi Pan powiedzieć co z katalogiem C:FRST tym który waży ponad 700mbMB? Usunąć czy zostawić?

    0
  • #21 13 Lip 2016 14:35
    krzychupar
    Poziom 41  

    Ten podany program go usunie.

    0
  • #22 13 Lip 2016 15:25
    marcinrs1994
    Poziom 6  

    Zużycie procesora zmalało :) Dzięki wszystkim za pomoc, ale proszę o nie zamykanie tematu jeszcze przez kilka godzin - gdy host usługi znów wzrośnie, to dam znać. Mam jednak nadzieje, ze DelFix rozwiązał ten problem na stałe.

    0