wolfik94 Opublikowano 9 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2016 Witam, po rozmowie z rodzicem doszedłem do wniosku że najprawdopodobniej do zakażenia doszło poprzez "osławionego" asystenta z dobreprogramy, problem jest następujący: próba wyszukania czegokolwiek poprzez pasek adresu w Firefoxie z domyślnie ustawioną wyszukiwarką Google kończy się przekierowaniem na Yahoo/SafeFinder, a także wyszukane w ten sposób hasło jest zapamiętywane i przy próbie znalezienia jakiejkolwiek innej frazy powoduje wyświetlenie odpowiedzi na wcześniejsze. Podobny problem pokazał się równolegle w Chromie, natomiast usunięcie rozszerzenia SafeFinder pomogło, a przynamniej wyżej wymienione objawy tam nie występują i przeglądarka działa bezproblemowo. Z panelu Dodaj/Usuń Programy usunąłem program o nazwie jak w temacie, natomiast nie przyniosło to żadnego skutku dla Firefoxa.Sterownik SPTD nie został wykryty, program FRST zadziałał bezproblemowo natomiast próba zrobienia logów poprzez GMERa powodowała błąd o nazwie "attempted write to read-only memory" i następował restart systemu, zatem z GMERa załączam jedynie wynik pre-skanu.Bardzo dziękuję za pochylenie się nad tematem i proszę o pomoc. Addition.txt FRST.txt Shortcut.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 9 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2016 Problemy SafeFinder generują moduły DLL ładowane techniką AppInit_DLLs. Są również zmodyfikowane preferencje przeglądarek Google Chrome i Internet Explorer. A W Firefox także stare śmieci poprzednich infekcji adware oraz stare rozszerzenia nie podpisane cyfrowo. Swoją drogą, jest tu też crack aktywacji KMSpico... Akcja do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Quotenamron\BioIs.dll => C:\ProgramData\Quotenamron\BioIs.dll [363520 2016-04-07] () AppInit_DLLs-x32: C:\ProgramData\Quotenamron\MedNix.dll => C:\ProgramData\Quotenamron\MedNix.dll [257536 2016-04-07] () HKU\S-1-5-21-1616403842-1430195573-4232313489-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPfp4aL8ChTFVe4iW_eqN1d5vK4hTqykyQt4XCFbW_fu1ITqOh5_XwWmYn166oomxtTy9TOtu58UR0BD6o9ixph3Nsdu6M4-ULI7zHQAE3qvQL1eQKLGSvbbOpuc-mcCDWWQb6I3UwemYvFHHGxi40OI7xCcpxh&q={searchTerms} HKU\S-1-5-21-1616403842-1430195573-4232313489-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPfp4aL8ChTFVe4iW_eqN1d5vK4hTqykyQt4XCFbW_fu1ITqOh5_XwWmYn166oomxtfjCS0UItoAJP9NhmWuyT1d1Id8Ho9QHo-am7RtvsDJAbmp7vpPNNekqpQ5wMXeePEvnSVRb9tYAEFNjLlAff0rQuUAbV5 HKU\S-1-5-21-1616403842-1430195573-4232313489-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPfp4aL8ChTFVe4iW_eqN1d5vK4hTqykyQt4XCFbW_fu1ITqOh5_XwWmYn166oomxtTy9TOtu58UR0BD6o9ixph3Nsdu6M4-ULI7zHQAE3qvQL1eQKLGSvbbOpuc-mcCDWWQb6I3UwemYvFHHGxi40OI7xCcpxh&q={searchTerms} HKU\S-1-5-21-1616403842-1430195573-4232313489-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPfp4aL8ChTFVe4iW_eqN1d5vK4hTqykyQt4XCFbW_fu1ITqOh5_XwWmYn166oomxtTy9TOtu58UR0BD6o9ixph3Nsdu6M4-ULI7zHQAE3qvQL1eQKLGSvbbOpuc-mcCDWWQb6I3UwemYvFHHGxi40OI7xCcpxh&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPfp4aL8ChTFVe4iW_eqN1d5vK4hTqykyQt4XCFbW_fu1ITqOh5_XwWmYn166oomxtTy9TOtu58UR0BD6o9ixph3Nsdu6M4-ULI7zHQAE3qvQL1eQKLGSvbbOpuc-mcCDWWQb6I3UwemYvFHHGxi40OI7xCcpxh&q={searchTerms} SearchScopes: HKU\S-1-5-21-1616403842-1430195573-4232313489-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPfp4aL8ChTFVe4iW_eqN1d5vK4hTqykyQt4XCFbW_fu1ITqOh5_XwWmYn166oomxtTy9TOtu58UR0BD6o9ixph3Nsdu6M4-ULI7zHQAE3qvQL1eQKLGSvbbOpuc-mcCDWWQb6I3UwemYvFHHGxi40OI7xCcpxh&q={searchTerms} SearchScopes: HKU\S-1-5-21-1616403842-1430195573-4232313489-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPfp4aL8ChTFVe4iW_eqN1d5vK4hTqykyQt4XCFbW_fu1ITqOh5_XwWmYn166oomxtTy9TOtu58UR0BD6o9ixph3Nsdu6M4-ULI7zHQAE3qvQL1eQKLGSvbbOpuc-mcCDWWQb6I3UwemYvFHHGxi40OI7xCcpxh&q={searchTerms} CHR StartupUrls: Default -> "www.wp.pl/?src01=dp2" CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms} CHR DefaultSearchKeyword: Default -> SafeFinder CHR Session Restore: Default -> [funkcja włączona] CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKU\S-1-5-18\Software\MozillaPlugins C:\ProgramData\Quotenamron C:\ProgramData\Quotenamrons C:\Users\Komputer\AppData\Roaming\*.* C:\Windows\%LOCALAPPDATA% C:\Windows\SysWOW64\findit.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Safefinder (o ile nadal będzie widoczna). 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
wolfik94 Opublikowano 10 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Wszystkie kroki zostały wykonane bez przeszkód, wydaje się że problem ustąpił. Załączam logi. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Zadania pomyślnie wykonane. Kolejne poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres www.wp.pl/?src01=dp2 (wprowadzony przez starszą wersję "Asystenta pobierania" dobrychprogramów), przestaw na "Otwórz stronę nowej karty". 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
wolfik94 Opublikowano 10 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Zadania wykonane, załączam raport z AdwCleaner. EDIT : niczego co AdwCleaner wykrył nie usuwałem AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 10 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Pod kątem znalezisk AdwCleaner: 1. Program czepia się wyszukiwarek hairstore.pl, flightaware.com w Google Chrome. Moim zdaniem to fałszywy alarm. Ale opcjonalnie możesz je usunąć w Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Komputer\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
wolfik94 Opublikowano 10 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Przeglądarki przezornie usunąłem, zamieszczam plik fixlog. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 1. Za późno poprawiłam literówkę w jednej komendzie. Minimalna poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Na koniec zastosuj DelFix. Odnośnik do komentarza
wolfik94 Opublikowano 10 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 1 jak i 2 krok wykonany, log z DelFixa. Jeśli to wszystko to bardzo dziękuję za udzieloną pomoc. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 10 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 DelFix wykonał co należy. Skasuj plik C:\delfix.txt z dysku. To wszystko. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi