majkey Opublikowano 27 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2016 Witam, Chciałabym poprosić o pomoc w usunięciu SafeFindera i plików Quotenamron. Wydaje mi się, że są to jakieś niechciane pliki - nie jestem w stanie ich usunąć, Avast też sobie nie radzi. Czy mogę prosić o pomoc? Załączam wszystkie wymagane logi. Pozdrawiam, Majka Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... gmer.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2016 Tak, to bardzo niepożądane szkodniki. Są trudności z ich usunięciem ze względu na typ punktu ładowania. Działania do przeprowadzenia; 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware PriceFountain, SafeFinder, Update for PriceFountain. Jeśli będą błędy deinstalacji, nie szkodzi, zajmiemy się potem doczyszczaniem wpisów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Quotenamron\Namdom.dll => C:\ProgramData\Quotenamron\Namdom.dll [361984 2016-04-21] () AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Zathphase.dll => C:\ProgramData\Quotenamron\Zathphase.dll [257536 2016-04-21] () S4 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [1213440 2016-04-21] () [brak podpisu cyfrowego] Task: {CB89FE5D-81B9-4051-A7FD-DF229395DA6D} - System32\Tasks\lenovoMuttsDisincliningV2 => Rundll32.exe ScriptsPosting.dll,main 7 1 HKLM-x32\...\Run: [] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqebI93e0NwtMs8fFEisMHuEuhxqdaStf1zv9facjht4K78RiOemXSepAQQ4IMN6D4ddmr6jmmbudMVyDFnq4Sg1LML HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} SearchScopes: HKU\S-1-5-21-2576432662-3230786984-552761320-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7y CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Quotenamron C:\ProgramData\Quotenamrons C:\Users\lenovo\AppData\Local\MuttsDisinclining C:\Users\lenovo\AppData\Roaming\*.* C:\Users\lenovo\AppData\Roaming\{0AA72162-031C-D2D3-7C26-757935C77ABA} C:\Users\lenovo\AppData\Roaming\Mozilla C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl .lnk C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking .lnk C:\WINDOWS\SysWOW64\findit.xml RemoveDirectory: C:\Users\TEMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj OneTab. Rozszerzenie kojarzone z instalacjami adware: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszysrko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition. Dołącz też plik fixlog.txt. Odnośnik do komentarza
majkey Opublikowano 27 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2016 Ok no to się odinstalowało chyba, ale jak robię napraw FRST - następuje crash aplikacji. Załączam fixlog i fixlist. Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2016 Plik fixlist usuwam z Twojego posta, jego zawartość jest w moim poście oraz w fixlog. Jeśli chodzi o to, że skrypt owocuje błędem FRST, to ponów próbę w Trybie awaryjnym Windows: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > tu jest Tryb awaryjny. Tylko zastosuj skrypt z naniesioną poprawką na początek, który już się wykonał. Czyli nowy fixlist.txt do zapisania: Task: {CB89FE5D-81B9-4051-A7FD-DF229395DA6D} - System32\Tasks\lenovoMuttsDisincliningV2 => Rundll32.exe ScriptsPosting.dll,main 7 1 HKLM-x32\...\Run: [] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqebI93e0NwtMs8fFEisMHuEuhxqdaStf1zv9facjht4K78RiOemXSepAQQ4IMN6D4ddmr6jmmbudMVyDFnq4Sg1LML HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} SearchScopes: HKU\S-1-5-21-2576432662-3230786984-552761320-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7y CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Quotenamron C:\ProgramData\Quotenamrons C:\Users\lenovo\AppData\Local\MuttsDisinclining C:\Users\lenovo\AppData\Roaming\*.* C:\Users\lenovo\AppData\Roaming\{0AA72162-031C-D2D3-7C26-757935C77ABA} C:\Users\lenovo\AppData\Roaming\Mozilla C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl .lnk C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking .lnk C:\WINDOWS\SysWOW64\findit.xml RemoveDirectory: C:\Users\TEMP EmptyTemp: Odnośnik do komentarza
majkey Opublikowano 28 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 28 Kwietnia 2016 Wygląda jakby zadziałało Załączam fixlog. Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 28 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 28 Kwietnia 2016 Skrypt pomyślnie wykonany. Niemniej czy wykonałeś akcje związane z Google Chrome? I dostarcz nowe skany zrobione już po operacjach w Google Chrome: picasso napisał(a): 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition. Odnośnik do komentarza
majkey Opublikowano 28 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 28 Kwietnia 2016 Zrobiłam prawie wszystko poza: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Nie do końca rozumiem o co chodzi, a nie chciałam usuwać mojego konta google... Załączam skany. Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 28 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 28 Kwietnia 2016 Wszystkie widoczne szkodniki usunięte. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Cytat Nie do końca rozumiem o co chodzi, a nie chciałam usuwać mojego konta google... Jeśli masz włączoną synchronizację, szkodliwe zmiany (w Twoim przypadku SafeFinder) są również nagrywane na serwerze Google. I zmiany te będą przywracane z serwera Google, nie pomoże czyszczenie Google Chrome lokalnie. Czyli chodzi mi o wyczyszczenie z serwera Google danych, a to się dzieje przy resecie synchronizacji. Widzę, że w linkowanym artykule zmieniono treść (tam poprzednio było o resetowaniu synchronizacji). Tu znalazłam nową postać artykułu: KLIK. Odnośnik do komentarza
majkey Opublikowano 28 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 28 Kwietnia 2016 Załączam log z adwcleanera. Zrobiłam też reset synchronizacji AdwCleanerS1.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 28 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 28 Kwietnia 2016 AdwCleaner dopatrzył się drobnostek. Załatwimy je skryptem FRST (nanoszę korektę na detekcje - tu należy usunąć w całości niedomyślne klucze a nie wartości modyfikować). Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl DeleteQuarantine: CMD: del /q C:\Users\lenovo\Downloads\35h9qo15.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
majkey Opublikowano 2 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2016 (edytowane) Wątek musi zostać chwilowo zapauzowany. Komputer pojechał na wycieczkę do serwisu w sprawie nieładowania się Edytowane 7 Czerwca 2016 przez picasso Temat zamykam. Daj znać na PW, by go otworzyć, jeśli będzie kontynuacja. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi