Porywacz yeabests.cc

[ntbn]

Witam

Proszę o pomoc w usunięciu porywacza chrome yeabests.cc

Wczoraj na komputerze poinstalowały się dziesiątki- setki aplikacji. Wydaje mi się że poradziłem sobie ze wszystkim, tylko ten yeabests.cc mnie ciągle dręczy. logi w załaczniku

Pozdrawiam

gmer.txt

Addition.txt

Shortcut.txt

FRST.txt

[ntbn]

Ktoś pomoże?

W załączniku dodaje nowe logi po przeskanowaniu i usunieciu plików przez adwcleaner. Nadal jakies niechciane rzeczy siedza w systemie. 

np. adwcelaner się wiesza gdy chcę usunać ucguard

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

[jessica]

Ktoś pomoże?

Z tym jest kłopot: uprawniona do pomagania @Picasso nie może zbyt często zaglądać na forum.

 

podam zaraz usuwanie, ale czy je wykonasz, to zależy tylko od Ciebie .

 

1) Otwórz Notatnik i wklej w nim:

 

 

Task: {0B60910C-E7DC-4F98-993A-13F6CF294006} - System32\Tasks\{EC9CFE63-AE83-482D-820C-B6BCAA76187F} => pcalua.exe -a G:\SETUP.EXE -d G:\

Task: {14ADA998-819F-46DA-8E5E-C4F65441164C} - System32\Tasks\{A0FC2998-BC2E-4354-BF78-AD5EFBD821FE} => G:\SETUP1.EXE <==== UWAGA

Task: {234281B1-2206-4517-B1DA-5A2830613170} - System32\Tasks\{6E628353-8715-4197-83A2-F663FC987CBD} => G:\SETUP1.EXE <==== UWAGA

Task: {3133D3D4-1628-4EE9-8321-FBE263BDAC50} - System32\Tasks\DELLMiddlemenConcordatV2 => Rundll32.exe MadmenAbated.dll,main 7 1 <==== UWAGA

Task: {3F4B51A5-C93F-431F-9E10-16D09E7E82C8} - System32\Tasks\{3CBC3C46-1C8D-40A0-B3A7-CA0EF7FF58EC} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe"

Task: {937E2B27-DA63-4C06-ABE0-894BF6C275E9} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA

Task: {989F72BF-EB56-4670-B5FF-C8F45A3C2E82} - System32\Tasks\{5C7C831D-1DFC-FB63-E76B-389191C4B849} => C:\Users\DELL\AppData\Roaming\{5C7C8~1\PRODUC~1.EXE [2013-04-27] () <==== UWAGA

RemoveDirectory: C:\Program Files\SpaceSoundPro

RemoveDirectory: C:\Program Files (x86)\UCBrowser

RemoveDirectory: C:\Users\DELL\AppData\Roaming\{5C7C8~1

ShortcutWithArgument: C:\Users\DELL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc

ShortcutWithArgument: C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc

ShortcutWithArgument: C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ｇooｇle Ｃhroｍe.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safesurfs.net/?ssid=1471437781&a=1058472&src=sh&uuid=1bbcfb58-75cb-4a6b-8b06-715f2ac236a8"

ShortcutWithArgument: C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\995e9b0ecbe26f13\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ghiqerghtquqoleatuzuch

WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA

HKLM-x32\...\Run: [] => [X]

HKLM-x32\...\Run: [win_en_77] => [X]

ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} =>  Brak pliku

FF DefaultSearchEngine.US: data:text/plain,browser.search.defaultenginename.US=trotux

FF SelectedSearchEngine: trotux

FF Keyword.URL: hxxp://www.trotux.com/search/?z=14d24698b32ded82bb37bcfgfzem8gez6c0b7efg4q&from=csdi&uid=ST380815AS_9RW41DF3XXXX9RW41DF3&type=sp&q=

FF user.js: detected! => C:\Users\DELL\AppData\Roaming\Profiles\cos3fthz.default\user.js [2016-08-17]

FF Extension: Firefox Homepage - C:\Program Files (x86)\Mozilla Firefox\browser\features\googletestNT@mozillaonline.com [2016-08-17] [brak podpisu cyfrowego]

S1 UCGuard; system32\DRIVERS\ucguard.sys [X] <==== UWAGA

2016-08-17 15:43 - 2016-08-17 16:00 - 07616340 _____ C:\Users\DELL\AppData\Roaming\setup.apk

2016-08-17 15:41 - 2016-08-18 15:01 - 00000454 _____ C:\Windows\Tasks\UCBrowserUpdater.job

2016-08-17 15:41 - 2016-08-17 15:41 - 00003426 _____ C:\Windows\System32\Tasks\UCBrowserUpdater

2016-08-17 15:39 - 2016-02-18 10:10 - 05267952 _____ () C:\Users\DELL\AppData\Roaming\ziptool_wc-9015_setup.exe

2016-08-17 15:53 - 2016-08-17 15:53 - 00000000 ____D C:\Windows\system32\jey

2016-08-17 16:35 - 2016-08-17 16:35 - 00000000 ____D C:\Windows\system32\pajg

2016-08-17 15:07 - 2016-08-17 16:36 - 00000000 ____D C:\Users\DELL\AppData\Roaming\GowvePitpagf

2016-08-17 15:07 - 2016-08-17 16:36 - 00000000 ____D C:\Users\DELL\AppData\Roaming\Geunfy

2016-08-17 15:00 - 2016-08-17 15:00 - 00000000 ____D C:\Windows\system32\byt

2016-08-17 14:52 - 2016-08-17 16:36 - 00000000 ____D C:\Users\DELL\AppData\Roaming\Hemkajdoa

2016-08-17 14:52 - 2016-08-17 16:36 - 00000000 ____D C:\Users\DELL\AppData\LocalLow\Company

2016-08-17 14:52 - 2016-08-17 15:07 - 00000000 ____D C:\Users\DELL\AppData\Local\Tempfolder

2016-08-17 14:48 - 2016-08-17 14:48 - 00003098 _____ C:\Windows\System32\Tasks\{3CBC3C46-1C8D-40A0-B3A7-CA0EF7FF58EC}

2016-08-17 14:48 - 2016-08-17 14:47 - 00001188 _____ C:\Windows\system32\Drivers\etc\hp.bak

2016-08-17 14:47 - 2016-08-17 14:50 - 00001619 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ｍozilla Ｆireｆox.lnk

2016-05-09 09:18 - 2016-05-09 09:18 - 6494208 _____ () C:\Users\DELL\AppData\Roaming\agent.dat

2016-05-09 09:18 - 2016-05-09 09:18 - 0127488 _____ () C:\Users\DELL\AppData\Roaming\Installer.dat

2016-05-09 09:18 - 2016-05-09 09:18 - 0018432 _____ () C:\Users\DELL\AppData\Roaming\Main.dat

C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk

HOSTS:

EmptyTemp:

>>Menu Notatnika >> Plik >>

>>Zapisz jako >>

Nazwa pliku: fixlist

Zapisz jako typ: Dokumenty tekstowe

Kodowanie: UTF -8

>>Zapisz

Plik umieść w folderze C:\Users\DELL\Downloads

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Użyj RepairDNS > https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry172749

Daj z tego raport.

 

3) Zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

 

jessi

[ntbn]

Nowe logi z FRST

nie mogłem zrobić logów z RepairDNS, strona nie działa a programy nigdzie indzie nie moge znalezc :/

btw. yeabest nadal mi wyskakuje

Addition.txt

Shortcut.txt

FRST.txt

[jessica]

nie mogłem zrobić logów z RepairDNS, strona nie działa a programy nigdzie indzie nie moge znalezc :/

https://www.nicolascoolman.com/download/repairdns/

kliknij na przycisk "Download Now".

albo zapasowy link:

http://www.mediafire.com/download/yedejtr7p4q36zm/RepairDNS.zip

 

 

Otwórz Notatnik i wklej w nim:

 

Task: C:\Windows\Tasks\{5C7C831D-1DFC-FB63-E76B-389191C4B849}.job => C:\Users\DELL\AppData\Roaming\{5C7C8~1\PRODUC~1.EXE <==== UWAGA

ShortcutWithArgument: C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\DELL\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc

ShortcutWithArgument: C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\DELL\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc

ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\DELL\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc

ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\DELL\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc

RemoveDirectory: C:\Users\DELL\AppData\Roaming\{5C7C8~1

CHR HomePage: ghiqerghtquqoleatuzuch -> hxxp://onet.pl/

CHR StartupUrls: ghiqerghtquqoleatuzuch -> "hxxp://onet.pl/"

C:\Windows\Minidump\082216-25927-01.dmp

C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ｇooｇle Ｃhroｍe.lnk

EmptyTemp:

>>Menu Notatnika >> Plik >>

>>Zapisz jako >>

Nazwa pliku: fixlist

Zapisz jako typ: Dokumenty tekstowe

Kodowanie: Unicode

>>Zapisz

Plik umieść w folderze C:\Users\DELL\Downloads

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Zrób nowe logi FRST.

 

jessi

[ntbn]

Przez chwilę strona nie działała juz dodaje nowe logi.

Wydaje się że problem z yeabest zniknął

Dziękuje bardzo

RepairDNS.txt

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

=======[ Verify new Dynamic Link Library (DLL) (32/64Bits) ]

FOUND: C:\Windows\System32\dnsapi.dll [357888]   =>Disinfected

FOUND: C:\Windows\SysWOW64\dnsapi.dll [270336]   =>Hijacker.DNS.Hosts

 

Otwórz Notatnik i wklej w nim:

 

 

Replace: C:\Windows\winsxs\wow64_microsoft-windows-dns-client_31bf3856ad364e35_6.1.7601.21673_none_4aa4e997e6a8ddc0\dnsapi.dll C:\Windows\SysWOW64\dnsapi.dll

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

Zrób nowy log FRST - już bez Addition, i bez Shortcut.

 

jessi

[ntbn]

Prosze

FRST.txt

Fixlog.txt

[jessica]

C:\Windows\system32\dnsapi.dll => Plik podpisany cyfrowo

C:\Windows\SysWOW64\dnsapi.dll => Plik podpisany cyfrowo

Operacja zakończona pomyślnie.

 

Chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).

przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

RepairDNS - usuń ręcznie.

 

Uaktualnij Javę, wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/?do=findComment&comment=179769

 

jessi

[ntbn]

Dzięki bardzo