Neodstranitelný yessearches.com

[marčelo]

Zdravím,

AdwCleaner nemůže odstranit www.yessearches.com a to ani v nouzovém režimu.

Log z RSIT jsem postnul sem https://justpaste.it/15a1h a předem děkuji za pomoc.

Přeji krásný víkend.

[Rudy]

Zdravím!
Dejte log FRST: http://forum.viry.cz/viewtopic.php?f=13&t=133100 .

[marčelo]

Děkuji.

FRST => https://justpaste.it/15a54
Addition => https://justpaste.it/15a55

[Rudy]

Spusťte tuto utilitu:

Stáhněte AdwCleaner https://toolslib.net/downloads/viewdown ... dwcleaner/
Uložte na plochu
Ukončete všechny programy
Klikněte nejprve na >Scan<(hledání) a pak na >Clean< (mazání).
Proběhne skenováni a pak se objeví log, který sem vložte.

[marčelo]

# AdwCleaner v6.045 - Log vytvořen 07/04/2017 v 19:18:36
# Aktualizováno dne 28/03/2017 z Malwarebytes
# Databáze : 2017-04-06.1 [Místní]
# Operační systém : Windows 10 Home (X64)
# Uživatelské jméno : Marcel - DEDANARYBACH
# Spuštěno z : C:\Users\Marcel\Downloads\adwcleaner_6.045.exe
# Mod: Čištění
# Podpora : https://www.malwarebytes.com/support



***** [ Služby ] *****



***** [ Složky ] *****



***** [ Soubory ] *****



***** [ DLL ] *****



***** [ WMI ] *****



***** [ Zástupci ] *****



***** [ Naplánované úlohy ] *****



***** [ Registry ] *****



***** [ Prohlížeče ] *****

[-] [C:\Users\Marcel\AppData\Local\Google\Chrome\User Data\Default] [startup_urls] Smazáno: hxxp://www.yessearches.com/?mode=nnnb&ptid=dam ... Bn4oBX4sCE..


*************************

:: "Tracing" klíče smazány
:: Winsock nastavení vyčištěno

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [1234 Bajty] - [06/03/2017 01:13:46]
C:\AdwCleaner\AdwCleaner[C2].txt - [1779 Bajty] - [06/04/2017 00:53:19]
C:\AdwCleaner\AdwCleaner[C3].txt - [3670 Bajty] - [06/04/2017 19:50:09]
C:\AdwCleaner\AdwCleaner[C4].txt - [4300 Bajty] - [07/04/2017 12:19:20]
C:\AdwCleaner\AdwCleaner[C5].txt - [2333 Bajty] - [07/04/2017 12:21:44]
C:\AdwCleaner\AdwCleaner[C6].txt - [1376 Bajty] - [07/04/2017 19:18:36]
C:\AdwCleaner\AdwCleaner[S0].txt - [1532 Bajty] - [06/03/2017 01:10:51]
C:\AdwCleaner\AdwCleaner[S10].txt - [4092 Bajty] - [07/04/2017 12:18:48]
C:\AdwCleaner\AdwCleaner[S11].txt - [2632 Bajty] - [07/04/2017 12:21:39]
C:\AdwCleaner\AdwCleaner[S12].txt - [2618 Bajty] - [07/04/2017 12:24:07]
C:\AdwCleaner\AdwCleaner[S13].txt - [2853 Bajty] - [07/04/2017 12:31:49]
C:\AdwCleaner\AdwCleaner[S14].txt - [2927 Bajty] - [07/04/2017 15:32:48]
C:\AdwCleaner\AdwCleaner[S15].txt - [3001 Bajty] - [07/04/2017 15:52:49]
C:\AdwCleaner\AdwCleaner[S16].txt - [3075 Bajty] - [07/04/2017 19:18:29]
C:\AdwCleaner\AdwCleaner[S1].txt - [1519 Bajty] - [06/03/2017 01:16:33]
C:\AdwCleaner\AdwCleaner[S2].txt - [2307 Bajty] - [06/04/2017 00:10:27]
C:\AdwCleaner\AdwCleaner[S3].txt - [1967 Bajty] - [06/04/2017 00:20:48]
C:\AdwCleaner\AdwCleaner[S4].txt - [1972 Bajty] - [06/04/2017 00:56:18]
C:\AdwCleaner\AdwCleaner[S5].txt - [3557 Bajty] - [06/04/2017 14:30:36]
C:\AdwCleaner\AdwCleaner[S6].txt - [3630 Bajty] - [06/04/2017 19:49:26]
C:\AdwCleaner\AdwCleaner[S7].txt - [2284 Bajty] - [06/04/2017 23:01:03]
C:\AdwCleaner\AdwCleaner[S8].txt - [2337 Bajty] - [06/04/2017 23:10:43]
C:\AdwCleaner\AdwCleaner[S9].txt - [3940 Bajty] - [07/04/2017 12:15:46]

########## EOF - C:\AdwCleaner\AdwCleaner[C6].txt - [2697 Bajty] ##########

[Rudy]

Dejte nový log FRST.

[marčelo]

Aditional => https://justpaste.it/15abq
FRST => https://justpaste.it/15abs

[Rudy]

Otevřte poznámkový blok a zkopírujte do něj:

Start
Task: {72D88993-38B6-4040-AE70-9421138F479F} - \ASC10_SkipUac_Marcel -> No File <==== ATTENTION
C:\Program Files\Bonjour
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2016-12-12] (Oracle Corporation)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HomePage: Default -> hxxps://duckduckgo.com/
C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
C:\Program Files (x86)\Bonjour

ResetHosts:
EmptyTemp:
End

Uložte na plochu jako fixlist.txt. Spusťte znovu FRST a klikněte na >Fix<. Po skončení akce se objeví log, který sem zkopírujte.

Dále pak spusťte tyto skeny:

1. Stahnete Zoek.exe http://download.bleepingcomputer.com/smeenk/zoek.exe a ulozte jej na plochu

Pokud pouzivate Win Vista ci W7, kliknete na Zoek pravym a dejte Run As Administrator ci Spustit jako spravce
Do okna vlozte skript nize

autoclean;
resethosts;
emptyclsid;
IEdefaults;
FFdefaults;
CHRdefaults;
emptyIEcache;
emptyFFcache;
emptyCHRcache;
emptyalltemp;
emptyflash;
emptyjava;
emptyrecycle.bin;

Nasledne kliknete na Run Script
PC provede opravu, restartuje se a da Vam log, jeho obsah vlozte sem.

a

2. Junkware removal tool: http://thisisudax.org/downloads/JRT.exe
•Ulozte nejlepe na plochu
•Po spusteni se zobrazi licencni podminky, stisknete libovolnou klavesu
•Probehne vytvoreni zalohy a nasledne prohledavani
•Probehne skenovani a pak se objevi log, pripadne bude ulozen v c:\JRT jako JRT.txt, ten sem vlozte.

[marčelo]

Dík. Zoek jsem musel v půli vypnout, protože jsem musel zdrhat na autobus. Pak jsem proceduru opakoval, dokud se nedokončila:

fixlog => https://justpaste.it/15ain
zoek => https://justpaste.it/15aim
JRT => https://justpaste.it/15aik

Děkuji.

[Rudy]

OK. Nastala nějaká změna?

[marčelo]

AdwCleaner škodnou yessearches.com to stále detekuje. Změna se ovšem projevila a začal mi opět fungovat facebook (vždy zamrzl. nešlo nic rozkliknout). Pro mě jako pro admina stránky s 23500 lidma to bylo blbý.

[Rudy]

Ještě zkuste kompletní sken MBAM: http://www.malwarebytes.org/mbam.php a dejte log. Předem nic nemažte.

[marčelo]

Facebooky zase zlobijó, Adwcleaner detekuje.

Malwarebytes
www.malwarebytes.com

-Podrobnosti logovacího souboru-
Datum skenování: 09.04.17
Čas skenování: 19:14
Logovací soubor: a.txt
Správce: Ano

-Informace o softwaru-
Verze: 3.0.6.1469
Verze komponentů: 1.0.96
Aktualizovat verzi balíku komponent: 1.0.1693
Licence: Bezplatný

-Systémová informace-
OS: Windows 10
CPU: x64
Systém souborů: NTFS
Uživatel: DEDANARYBACH\Marcel

-Shrnutí skenování-
Typ skenování: Skenování hrozeb (Threat Scan)
Výsledek: Dokončeno
Skenované objekty: 392589
Uplynulý čas: 3 min, 7 sek

-Možnosti skenování-
Paměť: Povoleno
Start: Povoleno
Systém souborů: Povoleno
Archivy: Povoleno
Rootkity: Zakázáno
Heuristika: Povoleno
Potenciálně nežádoucí program: Povoleno
Potenciálně nežádoucí modifikace: Povoleno

-Podrobnosti skenování-
Proces: 0
(Nebyly zjištěny žádné škodlivé položky)

Modul: 0
(Nebyly zjištěny žádné škodlivé položky)

Klíč registru: 0
(Nebyly zjištěny žádné škodlivé položky)

Hodnota v registru: 0
(Nebyly zjištěny žádné škodlivé položky)

Data registrů: 0
(Nebyly zjištěny žádné škodlivé položky)

Datové proudy: 0
(Nebyly zjištěny žádné škodlivé položky)

Adresář: 0
(Nebyly zjištěny žádné škodlivé položky)

Soubor: 0
(Nebyly zjištěny žádné škodlivé položky)

Fyzický sektor: 0
(Nebyly zjištěny žádné škodlivé položky)


(end)

[Rudy]

Podle MBAM máte čisto. Koukněte do toho adresáře, který vám ADW zobrazuje a zkuste to odmáznout ručně. Ono se to asi stejně asi neprojevuje v prohlížeči.

[marčelo]

Problém je zřejmě následující. Počítač byl vyčištěn, ale jakmile jsem se zalogoval v Chrome na Google účet, tak se tam dostala ta odporná věc. Popsaná cesta vede k souboru, kde jsem yessearches odstranil a následně jsem dogooglil, že se schovává ve stránkách spuštěných po otevření prohlížeče a tam jsem ho smazal. Opakovaně. Teď už ani po druhém opakování adw nic neregistruje.

Takže se to schovávalo v těch google souborech.

Otázka je, zda to bude dlouhodobé. Posrané viry!

Děkuju!!!!:)