SafeFinder, Quotenamron

[majkey]

Witam,

 

Chciałabym poprosić o pomoc w usunięciu SafeFindera i plików Quotenamron. Wydaje mi się, że są to jakieś niechciane pliki - nie jestem w stanie ich usunąć, Avast też sobie nie radzi.

 

Czy mogę prosić o pomoc? Załączam wszystkie wymagane logi.

 

Pozdrawiam,

Majka

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Tak, to bardzo niepożądane szkodniki. Są trudności z ich usunięciem ze względu na typ punktu ładowania. Działania do przeprowadzenia;

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware PriceFountain, SafeFinder, Update for PriceFountain. Jeśli będą błędy deinstalacji, nie szkodzi, zajmiemy się potem doczyszczaniem wpisów.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
AppInit_DLLs: C:\ProgramData\Quotenamron\Namdom.dll => C:\ProgramData\Quotenamron\Namdom.dll [361984 2016-04-21] ()
AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Zathphase.dll => C:\ProgramData\Quotenamron\Zathphase.dll [257536 2016-04-21] ()
S4 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [1213440 2016-04-21] () [brak podpisu cyfrowego]
Task: {CB89FE5D-81B9-4051-A7FD-DF229395DA6D} - System32\Tasks\lenovoMuttsDisincliningV2 => Rundll32.exe ScriptsPosting.dll,main 7 1 
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms}
HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqebI93e0NwtMs8fFEisMHuEuhxqdaStf1zv9facjht4K78RiOemXSepAQQ4IMN6D4ddmr6jmmbudMVyDFnq4Sg1LML
HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms}
HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2576432662-3230786984-552761320-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7y
CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\ProgramData\Quotenamron
C:\ProgramData\Quotenamrons
C:\Users\lenovo\AppData\Local\MuttsDisinclining
C:\Users\lenovo\AppData\Roaming\*.*
C:\Users\lenovo\AppData\Roaming\{0AA72162-031C-D2D3-7C26-757935C77ABA}
C:\Users\lenovo\AppData\Roaming\Mozilla
C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl .lnk
C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking .lnk
C:\WINDOWS\SysWOW64\findit.xml
RemoveDirectory: C:\Users\TEMP
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Google Chrome z adware:

• Zresetuj synchronizację (o ile włączona), punkt 2: KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj OneTab. Rozszerzenie kojarzone z instalacjami adware: KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszysrko z wyjątkiem Google.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition. Dołącz też plik fixlog.txt.

[majkey]

Ok no to się odinstalowało chyba, ale jak robię napraw FRST - następuje crash aplikacji.

 

Załączam fixlog i fixlist.

Fixlog.txt

[picasso]

Plik fixlist usuwam z Twojego posta, jego zawartość jest w moim poście oraz w fixlog.

 

Jeśli chodzi o to, że skrypt owocuje błędem FRST, to ponów próbę w Trybie awaryjnym Windows: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > tu jest Tryb awaryjny.

 

Tylko zastosuj skrypt z naniesioną poprawką na początek, który już się wykonał. Czyli nowy fixlist.txt do zapisania:

 

Task: {CB89FE5D-81B9-4051-A7FD-DF229395DA6D} - System32\Tasks\lenovoMuttsDisincliningV2 => Rundll32.exe ScriptsPosting.dll,main 7 1 
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms}
HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqebI93e0NwtMs8fFEisMHuEuhxqdaStf1zv9facjht4K78RiOemXSepAQQ4IMN6D4ddmr6jmmbudMVyDFnq4Sg1LML
HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms}
HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2576432662-3230786984-552761320-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7y
CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\ProgramData\Quotenamron
C:\ProgramData\Quotenamrons
C:\Users\lenovo\AppData\Local\MuttsDisinclining
C:\Users\lenovo\AppData\Roaming\*.*
C:\Users\lenovo\AppData\Roaming\{0AA72162-031C-D2D3-7C26-757935C77ABA}
C:\Users\lenovo\AppData\Roaming\Mozilla
C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl .lnk
C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking .lnk
C:\WINDOWS\SysWOW64\findit.xml
RemoveDirectory: C:\Users\TEMP
EmptyTemp:

[majkey]

Wygląda jakby zadziałało Załączam fixlog.

 

Fixlog.txt

[picasso]

Skrypt pomyślnie wykonany. Niemniej czy wykonałeś akcje związane z Google Chrome? I dostarcz nowe skany zrobione już po operacjach w Google Chrome:

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition.

[majkey]

Zrobiłam prawie wszystko poza:

 

• Zresetuj synchronizację (o ile włączona), punkt 2: KLIK.

 

Nie do końca rozumiem o co chodzi, a nie chciałam usuwać mojego konta google...

 

Załączam skany.

Addition.txt

FRST.txt

[picasso]

Wszystkie widoczne szkodniki usunięte. Teraz:

 

Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

 

 

Nie do końca rozumiem o co chodzi, a nie chciałam usuwać mojego konta google...

Jeśli masz włączoną synchronizację, szkodliwe zmiany (w Twoim przypadku SafeFinder) są również nagrywane na serwerze Google. I zmiany te będą przywracane z serwera Google, nie pomoże czyszczenie Google Chrome lokalnie. Czyli chodzi mi o wyczyszczenie z serwera Google danych, a to się dzieje przy resecie synchronizacji.

 

Widzę, że w linkowanym artykule zmieniono treść (tam poprzednio było o resetowaniu synchronizacji). Tu znalazłam nową postać artykułu: KLIK.

[majkey]

Załączam log z adwcleanera.

 

Zrobiłam też reset synchronizacji

AdwCleanerS1.txt

[picasso]

AdwCleaner dopatrzył się drobnostek. Załatwimy je skryptem FRST (nanoszę korektę na detekcje - tu należy usunąć w całości niedomyślne klucze a nie wartości modyfikować). Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl
DeleteQuarantine:
CMD: del /q C:\Users\lenovo\Downloads\35h9qo15.exe

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[majkey]

Wątek musi zostać chwilowo zapauzowany. Komputer pojechał na wycieczkę do serwisu w sprawie nieładowania się

Edytowane 7 Czerwca 2016 przez picasso
Temat zamykam. Daj znać na PW, by go otworzyć, jeśli będzie kontynuacja. //picasso