Problem z SafeFinder

[de3em]

Witam

Przez pośpiech podczas instalacji Rufusa pobranego ze strony Komputer Świat zainstalowałem wymieniony w tytule program. Problem polega na tym że od tej pory gdy uruchomię po raz pierwszy przeglądarkę mogę wejść na każda stronę. Gdy jednak zamknę ją i uruchomię ponownie jedyna stroną na która mogę wejść jest Facebook, przy próbie wejścia na inne pokazuje się komunikat błędu połączenia ( tak jakby nie było internetu).

 

Próbowałem usunąć to z przeglądarek zainstalowanych na komputerze, a następnie odinstalować to poprzez RevoUinstaller lecz nic to nie dało. 

 

System : Win Xp Sp 3

 

Logi w załączniku.

 

Z góry dziękuje za pomoc

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

[picasso]

Na temat pobierania z KomputerŚwiat i podobnych: KLIK. Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 Adobe Updater Services; C:\Documents and Settings\All Users\Dane aplikacji\Adobe Roaming Service\adb_upds.exe [3613710 2014-07-29] () [brak podpisu cyfrowego]
R2 Atheros Utilities Manager; C:\Documents and Settings\All Users\Dane aplikacji\Atheros Internal\ath_isvcs.exe [32256 2015-04-22] () [brak podpisu cyfrowego]
R2 Lightzap; C:\Documents and Settings\All Users\Dane aplikacji\\Lightzap\\Lightzap.exe [669184 2016-02-07] () [brak podpisu cyfrowego]
AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Lightzap\Viva-Ex.dll => C:\Documents and Settings\All Users\Dane aplikacji\Lightzap\Viva-Ex.dll [257536 2016-02-07] ()
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,,
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms}
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms}
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,,
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms}
HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,,
HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms}
HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms}
HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-1993962763-1801674531-1606980848-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7Nzb7ygy76KzzgQdD78O06WAHxEZZWaDmfjnNwnoxijbVAG-WYSm4UEwTomhN43hbJEh-y6-ZMO0gNWamCTQ,,
CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7BIRm3864ovHW57qqCDyjWmJPkNXeDsCRIoLravAFL4fV6NSxZ8kL_SvabKN0gvgiymi1dJIsRhBIElpckAA,,&q={searchTerms}
CHR DefaultSearchKeyword: Default -> feed.sonic-search.com
CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Documents and Settings\All Users\Dane aplikacji\Setup.msi
C:\Documents and Settings\All Users\Dane aplikacji\Adobe Roaming Service
C:\Documents and Settings\All Users\Dane aplikacji\Atheros Internal
C:\Documents and Settings\All Users\Dane aplikacji\Lightzap
C:\Documents and Settings\All Users\Dane aplikacji\Lightzaps
C:\Documents and Settings\All Users\Dane aplikacji\Mobility Manager
C:\Documents and Settings\LocalService\Dane aplikacji\tor
C:\Documents and Settings\mlody\Pulpit\Kontynuuj instalację Rufus 2.6.810.lnk
C:\Documents and Settings\mlody\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files
C:\Program Files\Common Files\TempTam
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\komputerswiat.pl
DeleteKey: HKCU\Software\Mozilla\Seamonkey
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.

3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Adddition i Shortcut. Dołącz też plik fixlog.txt.

[de3em]

Hej,

 

Dzięki wielkie, po wykonaniu Twoich poleceń wszystko wydaje się w porządku. Jeszcze raz wielkie dzięki Pani Doktor Log  

Link "Portale z oprogramowaniem/ Instalatory na co uważać" został już przeze mnie przestudiowany. Wyciągnąłem z tej lekcji odpowiednie wnioski i na pewno od dzisiaj zastanowię się dwa razy zanim coś kliknę

 

Pliki o o które prosiłaś dołączam standardowo w załączniku.

 

 

Pozdrawiam.

 

P.S Mam jeszcze jedno pytanie, czy Kaspersky Rescue Disk poradził by sobie z tym problem, czy jednak nie ma innej opcji niż pisanie logów na adware/malware (niepotrzebne skreślić) ?

Fixlog.txt

frstlog.txt

[picasso]

Otwórz załączony plik fixlog.txt - podczas przeklejania skryptu do Notatnika wystąpiły błędy, tzn. wszystkie linie zostały sklejone oraz pojawiły się artefakty (encje HTML, których w logu nie było). Skrypt wklejony do Notatnika musi mieć identyczne przejścia do nowej linii jak w moim poście. Konsekwencją jest, że skrypt FRST nie przetworzył wszystkich obiektów jak należy. Kolejne poprawki:

 

Otwórz Notatnik i wklej w nim (6 linii):

 

AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Lightzap\Viva-Ex.dll => Brak pliku
SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-1993962763-1801674531-1606980848-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7Nzb7ygy76KzzgQdD78O06WAHxEZZWaDmfjnNwnoxijbVAG-WYSm4UEwTomhN43hbJEh-y6-ZMO0gNWamCTQ,,
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

 

 

P.S Mam jeszcze jedno pytanie, czy Kaspersky Rescue Disk poradził by sobie z tym problem, czy jednak nie ma innej opcji niż pisanie logów na adware/malware (niepotrzebne skreślić) ?

Wątpię. To co było w systemie to adware, a w tym typie Kaspersky nie jest aż tak specjalizowany.

[de3em]

Domyślam się, iż ów błąd wynikł z racji tego, że tworzyłem te pliki na tablecie androidowym. Tylko z tego urządzenia mogłem w danej chwili skorzystać. A następnie wysyłałem je na Pc załączone w wiadomości na Fb może to znowu przez pośpiech i chęć skopiowania wszystkiego na raz. Zapamiętam, o tym formatowaniu. A może warto w końcu na poważnie zastanowić się nad przesiadką na jakiegoś łatwego Unixa.

Fixlog.txt

[picasso]

Tak, na pewno problemem było przeklejanie z poziomu tabletu. Ostatnie akcje pomyślnie wykonane. Na koniec:

 

1. Był uruchamiany GMER, toteż upewnij się, że nie wystąpiły skutki uboczne (o ile już tego nie korygowałeś): KLIK.

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[de3em]

1. Sprawdzone zaraz po użyciu GMER-a, lecz nie była wymagana moja interwencja.

2. Zrobione. 

 

Jeszcze raz dziękuje za pomoc.