safefinder

[Mariusz001]

Witam. Po tygodniu wróciłem do pracy i okazało się że inny urzytkownik narobił mi spory bałagan na kompie.

Pierwsza sprawa to w firefoxie i internet expolrerze zamiast strony startowej pojawił się taki adres i nie można go zmienić poniewarz ładuje się wraz ze startem systemu. http://search.safefinder.com/?st=nt&q=  . Próbowałem ADW Cleanner i zaczeły się problemy. Po usunięciu zagrożeń przez ten program system się załaduje i na tym koniec. Wszystko wygląda normalnie ale nic  nie działa i po próbie uruchomienia czego kolwiek wyskakuje komunikat żeby zresetować system włącznikiem. Teraz pracuje w trybie awaryjnym ale i tu w przeglądarkach wyskakuje ta strona startowa. FRST zrobiony w załączniku ale przy próbie  zrobienia GMER wyskoczył komunikat który taż żałączam.

FRST.txt

[jessica]

1) Zauważyłam w necie, że ta infekcja potrafi zniszczyć cały System, więc najpierw skopiuj na pendrive'a wszystkie swoje najważniejsze dokumenty, obrazki, itp.

 

2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego

 

3) Zrób nowe logi FRST.

przed skanem zaznacz: Shortcut, Additional.

 

jessi

[Mariusz001]

zgodnie ze wskazaniami próbowałem skopiować dane z programu do fakturowania ale firebird jest uszkodzony i po ponownym zainstalowaniu problem się powtarza.

adw cleaner chyba nic nie znalazł bo tylko to okno się pojawiło.

Addition.txt

FRST 1.txt

Shortcut.txt

[jessica]

Adw-Cleaner nawet nie zaczął skanowania.

 

Otwórz Notatnik i wklej w nim:

 

FF NewTab: C:\\ProgramData\\Tristips\\ff.NT
C:\windows\system32\findit.xml
C:\ProgramData\Tristips
C:\ProgramData\Tristip
FF SearchEngineOrder.1: Ask Search
S2 Update FindRight; "C:\Program Files\FindRight\updateFindRight.exe" [X]
C:\Program Files\Common Files\npgnj3r0.4iv
FF Extension: Shopping App by Ask - C:\Users\HURTOWNIA\AppData\Roaming\Mozilla\Firefox\Profiles\9tuqu386.default\Extensions\toolbar_ORJ-ST-SPE@apn.ask.com.xpi [2014-12-23]
Task: {4DD8D027-FC1D-4AA9-AB56-B017AEB873F8} - System32\Tasks\{8E1667C3-5842-48B7-9259-9CCB1DCCDA95} => pcalua.exe -a "C:\Users\HURTOWNIA\AppData\Roaming\Image Editor Packages\uninstaller.exe" -c /Uninstall /NM="Image Editor Packages" /AN="" /MBN="Image Editor Packages"
CHR HKU\S-1-5-21-3916604919-2912353607-3506189148-1003\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3916604919-2912353607-3506189148-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSSMOb--s7QeNWcUk1GYs4TkjLPPJzBZArxh-7Ety6D4AQaLkMjGTKyffNp4C_fHL7_WBCBL9peOR4YyUw-qPiEH9kBhyem1vfQfc-bd6YLYDB_hWVIux-DdktAoA-0lBfhVO0nP_RMKg,,&q={searchTerms}
HKU\S-1-5-21-3916604919-2912353607-3506189148-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSSMOb--s7QeNWcUk1GYs4TkjLPPJzBZArxh-7Ety6D4AQaLkMjGTKyffNp4C_fHLIEhZmLQou-MdniXqxqDAIDd5F0TZZBaorikcrUuxLgw7gjyHILS4YAUoaOPmSWWg5Dw34w6spzdQ,,
HKU\S-1-5-21-3916604919-2912353607-3506189148-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
HKU\S-1-5-21-3916604919-2912353607-3506189148-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSSMOb--s7QeNWcUk1GYs4TkjLPPJzBZArxh-7Ety6D4AQaLkMjGTKyffNp4C_fHL7_WBCBL9peOR4YyUw-qPiEH9kBhyem1vfQfc-bd6YLYDB_hWVIux-DdktAoA-0lBfhVO0nP_RMKg,,&q={searchTerms}
HKU\S-1-5-21-3916604919-2912353607-3506189148-1003\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSSMOb--s7QeNWcUk1GYs4TkjLPPJzBZArxh-7Ety6D4AQaLkMjGTKyffNp4C_fHL7_WBCBL9peOR4YyUw-qPiEH9kBhyem1vfQfc-bd6YLYDB_hWVIux-DdktAoA-0lBfhVO0nP_RMKg,,&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-3916604919-2912353607-3506189148-1003 -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN
SearchScopes: HKU\S-1-5-21-3916604919-2912353607-3506189148-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8E740C5B8F279A64&affID=119357&tsp=4952
SearchScopes: HKU\S-1-5-21-3916604919-2912353607-3506189148-1003 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSSMOb--s7QeNWcUk1GYs4TkjLPPJzBZArxh-7Ety6D4AQaLkMjGTKyffNp4C_fHL7_WBCBL9peOR4YyUw-qPiEH9kBhyem1vfQfc-bd6YLYDB_hWVIux-DdktAoA-0lBfhVO0nP_RMKg,,&q={searchTerms}
2 DgiVecp; \??\C:\windows\system32\Drivers\DgiVecp.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
C:\windows\Minidump\*.dmp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Studio\Android Studio.lnk
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

Zrób nowe logi FRST - już bez Shortcut.

 

jessi

[Mariusz001]

Po resecie system się przez 15 min. nie uruchomił więc wyłączyłem go przysiskiem.  W trybie awaryjnym pracuje poprawnie, w Mozilla firefox wszystko jest ok .ale w internet explorerze jeszcze nie mogę zmienić strony startowej.

Addition.txt

FRST.txt

[jessica]

SafeFinder (HKLM\...\{8EE0F9DF-1DAC-4979-BB71-EE61D7FBEE00}) (Version: 1.0.0.0 - Linkury)

Dalej jest na liście Twoich programów, ale poza tym w logach nie widzę niczego podejrzanego.

 

Uruchom FRST.

W polu SEARCH wklej:

 

 

SafeFinder*.*

kliknij na przycisk "Search Files".

Raport z tego będzie tam, gdzie jest FRST.

 

Uruchom FRST.

W polu SEARCH wklej:

 

SafeFinder;

 

{8EE0F9DF-1DAC-4979-BB71-EE61D7FBEE00}

kliknij na przycisk "Search Registry".

Raport z tego będzie tam, gdzie jest FRST.

 

jessi

[Mariusz001]

Teraz system się odpalił ale i tak nic nie mogłem zrobić przy naciśnięciu Alt+Ctrl+ Delete znowy pojawił się komunikat że trzeba wyłączyć przyciskiem.

FRST.txt

Search.txt

[jessica]

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8EE0F9DF-1DAC-4979-BB71-EE61D7FBEE00}]

[-HKEY_USERS\S-1-5-21-3916604919-2912353607-3506189148-1003\Software\Microsoft\Internet Explorer\DOMStorage\search.safefinder.com]

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.

 

Uruchom FRST.
W polu SEARCH wklej:

 

SafeFinder;

{8EE0F9DF-1DAC-4979-BB71-EE61D7FBEE00}

kliknij na przycisk "Search Registry".
Raport z tego będzie tam, gdzie jest FRST.

 

jessi

[Mariusz001]

Czy spróbować zrobić naprawę systemu w miejscu wyboru trybu awaryjnego?

Narazie system się odpala ale nie za każdym razem zamyka. I cały czas po otwarciu aplikacji komunikat "brak odpowiedzi"

 

FRST.txt

[jessica]

@Picasso już wróciła, ale najpierw musi się zająć sprawami administracyjnymi forum,.

Jak tylko zauważysz, że zaczęła pomagać, to zgłosisz temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/

 

jessi

[Mariusz001]

ok. dziękuję za pomoc.