Safe finder, websearch

[sylwesse]

Witam, mam problem. Otóż pobrałam program i do niego były dołączone wirusy - 'websearch', 'Safe finder'. Niestety nie da się ich usunąć. Poczytałam na forum i utworzyłam w programie FRST trzy pliki FRST.txt,Addition.txt i Shortcut.txt. I nie wiem co robić dalej. Dołączam pliki i liczę na szybką pomoc, bo jest co raz gorzej.[/size]

 

mam zrobić to samo co tutaj? https://www.fixitpc.pl/topic/27696-wyskakujące-reklamy-chrome/

FRST.txt

Addition.txt

Shortcut.txt

[jessica]

Użyj AdwCleaner. Najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego. Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

 

Zrób nowe logi FRST.

 

jessi

[sylwesse]

po zrestartowaniu komputera wyskoczyło chyba to co powinno.

AdwCleanerS0.txt

FRST.txt

Addition.txt

Shortcut.txt

[jessica]

Otwórz Notatnik i wklej w nim:

 

AppInit_DLLs: C:\ProgramData\Tristip\aztdjx0d.dll => C:\ProgramData\Tristip\aztdjx0d.dll [146944 2015-08-14] ()

AppInit_DLLs-x32: C:\ProgramData\Tristip\wtp0uyhg.dll => C:\ProgramData\Tristip\wtp0uyhg.dll [120320 2015-08-14] ()

IFEO\volaro: [Debugger] tasklist.exe

IFEO\vonteera: [Debugger] tasklist.exe

C:\ProgramData\Tristip

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

GroupPolicyUsers\S-1-5-21-3453432811-3933972505-678822560-1001\User: Restriction detected <======= ATTENTION

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION

HKU\S-1-5-21-3453432811-3933972505-678822560-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG8sk1QY6_TlUOaCc5DTvLXwNCRT0VgvlPgHcMObE4laTuAh2oEb24S6Gik7njOTYQow2bfv_TuDZ7N7WiCJS4qcWquRc2S1ir8GBYNHCrJHS5g3X_O971uRyPomIRwOqlQ,,&q={searchTerms}

HKU\S-1-5-21-3453432811-3933972505-678822560-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG8sk1QY6_TlUOaCc5DTvLXwNCRT0VgvlPgHcMObE4laTuAh2oEb24S6Gik7njOTYTv_HX-zByD6B329o6L5ijhdF6zFfQO82T5QgMWbfApGp7RlC2vokd1eH2KdFZbXDHA,,

HKU\S-1-5-21-3453432811-3933972505-678822560-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG8sk1QY6_TlUOaCc5DTvLXwNCRT0VgvlPgHcMObE4laTuAh2oEb24S6Gik7njOTYQow2bfv_TuDZ7N7WiCJS4qcWquRc2S1ir8GBYNHCrJHS5g3X_O971uRyPomIRwOqlQ,,&q={searchTerms}

HKU\S-1-5-21-3453432811-3933972505-678822560-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG8sk1QY6_TlUOaCc5DTvLXwNCRT0VgvlPgHcMObE4laTuAh2oEb24S6Gik7njOTYQow2bfv_TuDZ7N7WiCJS4qcWquRc2S1ir8GBYNHCrJHS5g3X_O971uRyPomIRwOqlQ,,&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3453432811-3933972505-678822560-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG8sk1QY6_TlUOaCc5DTvLXwNCRT0VgvlPgHcMObE4laTuAh2oEb24S6Gik7njOTYQow2bfv_TuDZ7N7WiCJS4qcWquRc2S1ir8GBYNHCrJHS5g3X_O971uRyPomIRwOqlQ,,&q={searchTerms}

Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File

Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File

R2 Tristip; C:\ProgramData\Tristip\Tristip [X]

S2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X]

C:\ProgramData\Tristips

Task: {212F8602-AF1E-4BFD-BE64-AFF56ABB2E61} - \snp -> No File <==== ATTENTION

Task: {FF635D71-AC7F-4735-BB6E-D5080AB6B859} - \snf -> No File <==== ATTENTION

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

 

Potem chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.

przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

jessi

[sylwesse]

Dobrze, zrobiłam wszystko według wskazówek oprócz odinstalowania FRST i Adw-Cleaner, jednakże wirusowe programy nadal zostały i nadal nie mogę ich odinstalować.

[jessica]

W takim razie zrób nowe logi FRST.

 

jessi

[sylwesse]

okej

FRST.txt

Addition.txt

Shortcut.txt

[jessica]

jednakże wirusowe programy nadal zostały i nadal nie mogę ich odinstalować.

Pokaż mi, gdzie w logach widzisz te programy, bo ja ich nie dostrzegam.

 

jessi

[sylwesse]

No ja zupełnie się na tym nie znam, więc daję tylko scrina z panelu sterowania, nie mogę w ogóle odinstalować tych dwóch programów. Może jest okej, ale chyba powinny dać się odinstalować? Sama nie wiem.

[jessica]

Jakich dwóch programów? Na obrazku jest wiele programów.

 

Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafeFinder" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B1228E32-6012-4A83-A136-FB49BEC46B0D}" /f
C:\WINDOWS\SysWOW64\findit.xml
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

jessi

[sylwesse]

"Opera" i "Safe finder"

Fixlog.txt

[jessica]

Opera Stable 31.0.1889.99 (HKLM-x32\...\Opera 31.0.1889.99) (Version: 31.0.1889.99 - Opera Software)

ale to jest legalna, prawidłowa przeglądarka - dlaczego chcesz się jej pozbyć?

[sylwesse]

To czemu za nic w świecie nie mogę jej usunąć? I "Safe finder'a" także nie.. Z resztą wcześniej jej nie miałam, pojawiła się wraz ściąganiem programu z 'dobrych programów', nie potrzebuję jej, więc chyba nie ma sensu, żeby zajmowała mi miejsce. Wszystko by było super, gdyby nie to, że nie da się jej usunąć

[Damian747]

Może z pomocą przyjdzie program do odinstalowywania GeekUninstaller. Darmowy, można też pobrać z dobreprogramy. Warto go zapamiętać, uwierz mi ten program to Harpagan wiele razy mi pomógł, potrafi odinstalować rzeczy nie do ruszenia przez nawet komercyjne okrzyczane programy do odinstalowywania.

[jessica]

Darmowy, można też pobrać z dobreprogramy .

I znów zainstalować sobie jakiegoś szkodliwego śmiecia? Przecież na vortalu DobreProgramy do każdego programu doklejają różne szkodliwe śmieci.Trzymać się z dala od tego vortalu!

 

---------------------------------------

 

Co do usunięcia OPERY:

Otwórz Notatnik i wklej w nim:

 

Task: {15D13CFE-BBDF-4D30-B085-3C0FA6A3BDE3} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe [2015-07-30] (Opera Software)

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Opera 31.0.1889.99" /f

C:\Program Files (x86)\Opera

Task: {711834FE-6D97-4370-A850-C1F87B5544AA} - System32\Tasks\Opera scheduled Autoupdate 1439548839 => C:\Program Files (x86)\Opera\launcher.exe [2015-07-30] (Opera Software)

Task: {E9A69610-B8B9-4414-9A71-3BCFE89B5DAC} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe [2015-07-30] (Opera Software)

C:\WINDOWS\System32\Tasks\Opera scheduled Autoupdate 1439548839

C:\WINDOWS\System32\Tasks\Opera N Sunday

C:\WINDOWS\System32\Tasks\Opera N Saturday

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk

C:\Users\Sylwik\AppData\Roaming\Shortcut

C:\Program Files (x86)\Opera

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

 

jessi

[sylwesse]

już:

Fixlog.txt

[jessica]

I jak, Opera znikła? Zrób nowe logi FRST

jessi

[sylwesse]

Tak! Super, został jeszcze tylko ten "Safe finder"

 

Tak samo nie da się go usunąć przez panel sterowania. (We wcześniejszym prt sc z panelu sterowania jest widoczny nad "Operą").

FRST.txt

Addition.txt

Shortcut.txt

[jessica]

SafeFinder (HKLM-x32\...\{B1228E32-6012-4A83-A136-FB49BEC46B0D}) (Version: 1.0.0.0 - Linkury)

Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafeFinder" /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B1228E32-6012-4A83-A136-FB49BEC46B0D}" /f

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

 

Napisz, czy znikł z listy Programów?

 

jessi

[sylwesse]

tak.. dalej jest

Fixlog.txt

[jessica]

ERROR: The system was unable to find the specified registry key or value.

Albo tego programu nie było już na liście Twoich programów, albo System nie potrafi go zobaczyć. 

 

Uruchom FRST. W polu SEARCH (SZUKAJ) wklej:

 

safefinder*.*

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

 

safefinder:

{B1228E32-6012-4A83-A136-FB49BEC46B0D}

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).

Raport z tego będzie tam, gdzie jest FRST.

 

jessi

[sylwesse]

okej

Search.txt

[jessica]

a więc jest 100 % pewności, że nie masz "safefinder"

 

jessi

[sylwesse]

No to dobrze, chociaż dalej siedzi w panelu sterowania i nie da się usunąć, no ale i tak już jest o wiele lepiej niż było. Dziękuję bardzo! 

[picasso]

Pewnie temat już od dawna nieaktualny, ale skomentuję:

 

 

sylwesse

 

Jeśli sam sobie już nie poradziłeś z tym, Fix do FRST usuwający to wejście z Panelu sterowania miałby taką postać:

 

DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{B1228E32-6012-4A83-A136-FB49BEC46B0D}

 

 

jessika

 

On widział ten program cały czas. Próbowałaś usuwać zły klucz. FRST wyraźnie oznaczył wejście jako 32-bitowe:

 

SafeFinder (HKLM-x32\...\{B1228E32-6012-4A83-A136-FB49BEC46B0D}) (Version: 1.0.0.0 - Linkury)

 

vs.

 

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafeFinder" /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B1228E32-6012-4A83-A136-FB49BEC46B0D}" /f

 

Obie te komendy są błędne, a pierwsza "podwójnie błędna". Wydaje mi się, że już kiedyś gdzieś pisałam Ci jak odczytuje się wejścia instalacyjne:

 

Nazwa wyświetlana widziana w Panelu sterowania podawana użytkownikowi (HKU, HKLM lub HKLM-x32\...\Nazwa klucza w rejestrze niewidoczna dla użytkownika z poziomu Panelu i używana w skryptach FRST i innych procedurach rejestru) (Wersja - Producent)

 

Czyli tu "SafeFinder" to nazwa wyświetlania, nie istnieje takie coś w rejestrze: ...\Uninstall\SafeFinder. I ogólnie złe ścieżki początkowe. To jest 32-bitowe wejście, czyli klucz to: HKLM\SOFTWARE\Wow6432Node. To samo było przy usuwaniu 32-bitowej Opery. Tak naprawdę to się wcale nie wykonało (błąd w Fixlog, że nie nie ma takiego klucza) i on prawdopodobnie zrobił coś więcej niż zadałaś, że klucz Uninstall Opery przestał być widoczny w FRST Addition i jeszcze na dodatek magicznie zniknął cały folder C:\Program Files (x86)\Opera z dysku, bo na pewno nie usuwał tego FRST. Mam podejrzenie, że jednak przed Fixem FRST skorzystał z jakiegoś "autodeinstalatora".

 

 

safefinder:

{B1228E32-6012-4A83-A136-FB49BEC46B0D}

 

... i zastosowałaś złą składnię szukania FRST (nieinterpretowany dwukropek). FRST szukał tego jako całej nazwy: safefinder:{B1228E32-6012-4A83-A136-FB49BEC46B0D}, a nie jako dwa osobne elementy, więc nic nie znalazł. Każda fraza musi być oddzielona za pomocą średnika.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso