Problem z SafeFinder

[baltimore]

Witam

 

Mam problem z Safefinderem na Firefoxie

 

Załączam logi

 

Pozdrawiam

Przemo

FRST.txt

Shortcut.txt

Addition.txt

gmer.txt

[picasso]

Problem tworzą wpisy Quotenamron. Log coś jakby sugeruje, że adware zostało nabyte podczas instalacji konwertera "Any Video Converter"...

 

Działania do przeprowadzenia:

 

1. Odinstaluj programy typu adware/PUP:

- Ace Stream Media 3.0.12 - Ma zintegrowany moduł adware aktywowany po określonym przedziale czasu: KLIK.

- Smart File Advisor 1.1.8 - Deinstalacja jest sprzężona z Alcohol 52 i go usunie, proszę nie omiń tego kroku. To jest perfidnie skombinowana instalacja. By uniknąć instalacji tego śmiecia, należy podczas instalacji Alcohola odciąć sieć, o czym wspominam w przyklejonym: KLIK (popatrz na spód tematu).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [949248 2016-05-07] () [brak podpisu cyfrowego]
AppInit_DLLs: C:\ProgramData\Quotenamron\StrongStating.dll => C:\ProgramData\Quotenamron\StrongStating.dll [361984 2016-05-07] ()
AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Kanfresh.dll => Brak pliku
Winlogon\Notify\igfxcui: igfxdev.dll [X]
S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X]
CustomCLSID: HKU\S-1-5-21-3441687360-914018952-2576187937-1000_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> "C:\Users\Przemo\AppData\Local\Vivaldi\Application\1.0.219.34\delegate_execute.exe" => Brak pliku
HKU\S-1-5-21-3441687360-914018952-2576187937-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms}
HKU\S-1-5-21-3441687360-914018952-2576187937-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ33Sw5LF-l3FH8gBKvU9OEYL1ziaiImGobKre6dQQmHv54a2_aIrQ3RRCqbNOGN12TqziYUV37zU5txQwHPYkU790Q2g,,
HKU\S-1-5-21-3441687360-914018952-2576187937-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms}
HKU\S-1-5-21-3441687360-914018952-2576187937-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3441687360-914018952-2576187937-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3441687360-914018952-2576187937-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms}
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\findit.xml [2016-06-03]
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
C:\ProgramData\Quotenamron
C:\ProgramData\Quotenamrons
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mroczne Wieki\Mroczne Wieki EN.lnk
C:\Users\Przemo\AppData\Roaming\*.*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia trzeba będzie przeinstalować. I zamiast wersji uBlock, należy zainstalować rozwijaną wersję oryginalnego autora uBlock Origin.
• Menu Historia > Wyczyść całą historię przeglądania.

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[baltimore]

Zrobiłem

 

Załączam logi

Fixlog.txt

FRST.txt

[picasso]

Wszystko pomyślnie zrobione, problem rozwiązany. Drobne korekty:

 

1. W Operze: Ustawienia > karta Rozszerzenia > odinstaluj AS Magic Player pozostawiony po deinstalacji Ace Stream Media.

 

2. Jeśli Alcohol został usunięty, to należy pozbyć się też sterownika SPTD posługując się narzędziem SPTDinst: KLIK.

 

3. Otwórz Notatnik i wklej w nim:

 

FF HKU\S-1-5-21-3441687360-914018952-2576187937-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Przemo\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => nie znaleziono
S3 avchv; system32\DRIVERS\avchv.sys [X]
C:\Windows\system32\LavasoftTcpService64.dll
C:\Windows\system32\LavasoftTcpServiceOff.ini
C:\Windows\SysWOW64\LavasoftTcpService.dll
C:\Windows\SysWOW64\LavasoftTcpServiceOff.ini
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Przemo\AppData\Roaming\.ACEStream
RemoveDirectory: C:\Users\Przemo\AppData\Roaming\ACEStream
RemoveDirectory: C:\Users\Przemo\Desktop\Stare dane programu Firefox

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

[baltimore]

W Operze nie było AS Magic Player ( w sensie nie znalazłem )

 

Log po naprawie

 

Fixlog.txt

[picasso]

Skoro nie było widać rozszerzenia, to usuń jeszcze folder rozszerzenia z dysku. Czyli ostatni skrypt do FRST:

 

RemoveDirectory: C:\Users\Przemo\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[baltimore]

Log

Fixlog.txt

[picasso]

Akcja wykonana pomyślnie. Kończymy:

 

1. Uruchom narzędzie Fix-it usuwające drobny błąd WMI z Dziennika zdarzeń: KLIK.

 

2. Przez SHIFT+DEL (omija Kosz) skasuj folder E:\FRST64. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. Do aktualizacji systemowy Internet Explorer. Posiadasz starą niewpieraną już wersję IE9. Należy zainstalować IE11, pomimo że używasz tylko Firefoxa. Link do instalatora także w w/w linku. Po instalacji sprawdź też czy posiadasz wszystkie łatki z Windows Update.

[baltimore]

Zrobione.

 

Dziękuję bardzo za pomoc