Usunięcie plików typu Quotenamron, SafeFinder

[Buchu]

Witam, jak już wyżej napisałem szukam pomocy z plikami Quotenamron i aplikacją SafeFinder. Przy dokonywaniu uninstalla Daemon'a, wyskoczył mi błąd, że ta aplikacja nie działa na tej wersji Windows, także usunąłem to "manualnie" (po części) i gdy użyłem SPTD nie znalazło mi emulatora napędu. Załączam pliki z GMER'a, FRST. 

 

//Edit: Dodam jeszcze, że próbowałem odinstalować SafeFinder'a, ale nie wyskakiwało żadne okno do potwierdzenia deinstalacji.

gmer.txt

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

1) Otwórz Notatnik i wklej w nim:

 

Task: {085642EE-2E8A-492B-8B69-37E77EF6CE16} - System32\Tasks\DawidLatheryExcludesV2 => Rundll32.exe PissedRentable.dll,main 7 1 <==== UWAGA
Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\WINDOWS\System32\AutoWorkplace.exe
Task: {A6510A6E-8BD1-4E94-B4BB-045B778C618C} - System32\Tasks\{45352B11-05E0-43A2-B7B5-7D5BE2098636} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Freshsing\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Freshsing\uninstall.dat" -a uninstallme 6B754F16-740F-41B3-A887-AA4AE2256CAE DeviceId=061ffb46-531b-1a09-e48b-95aa1e86da9a BarcodeId=51162010 ChannelId=10 DistributerName=APSFIscFFIE
Task: {C831CEB6-D9AE-4A8F-B72C-B4B577FC6197} - System32\Tasks\{C98FD655-70AE-419F-8ADE-992DB14CD193} => pcalua.exe -a C:\Users\Dawid\AppData\Roaming\omiga-plus\UninstallManager.exe -c  -ptid=smt <==== UWAGA
Task: {CC5C4A76-3878-4B86-BE67-89BD81C5E308} - System32\Tasks\{95BFF6FA-BCBE-4539-A1D3-3D58082A454F} => pcalua.exe -a "D:\Program Files (x86)\NFS\Launcher.exe" -d "D:\Program Files (x86)\NFS"
AlternateDataStreams: C:\ProgramData\.rdata:X [526]
HKLM-x32\...\Run: [] => [X]
AppInit_DLLs: C:\ProgramData\Quotenamron\Tempbam.dll => C:\ProgramData\Quotenamron\Tempbam.dll [358912 2016-08-07] ()
RemoveDirectory: C:\ProgramData\Quotenamron
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421184331&from=smt&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAFA06600W&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://isearch.omiga-plus.com/?type=hp&ts=1421184331&from=smt&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAFA06600W
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421184331&from=smt&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAFA06600W&q={searchTerms}
HKU\S-1-5-21-2383064507-221051407-2536449367-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOLBNd9NU0UUx9oGpAkdCY2K6E6sRzhjlAhx4DOtpt8KjTzot8ltGRI6u1YI443AiCTbd0Ax8WUppdJ1-8rE9hmyINVYdhRp6do5Q6kS2EHxaO0a9zH-EKJCAjNgzm1_H44hIgs9dGE7AKISkEkEZsNut4AnB4,&q={searchTerms}
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOLBNd9NU0UUx9oGpAkdCY2K6E6sRzhjlAhx4DOtpt8KjTzot8ltGRI6u1YI443AiCTbd0Ax8WUppdJ1-8rE9hmyINVYdhRp6do5Q6kS2EHxaO0a9zH-EKJCAjNgzm1_H44hIgs9dGE7AKISkEkEZsNut4AnB4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2383064507-221051407-2536449367-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOLBNd9NU0UUx9oGpAkdCY2K6E6sRzhjlAhx4DOtpt8KjTzot8ltGRI6u1YI443AiCTbd0Ax8WUppdJ1-8rE9hmyINVYdhRp6do5Q6kS2EHxaO0a9zH-EKJCAjNgzm1_H44hIgs9dGE7AKISkEkEZsNut4AnB4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2383064507-221051407-2536449367-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-2383064507-221051407-2536449367-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOLBNd9NU0UUx9oGpAkdCY2K6E6sRzhjlAhx4DOtpt8KjTzot8ltGRI6u1YI443AiCTbd0Ax8WUppdJ1-8rE9hmyINVYdhRp6do5Q6kS2EHxaO0a9zH-EKJCAjNgzm1_H44hIgs9dGE7AKISkEkEZsNut4AnB4,&q={searchTerms}
BHO: Brak nazwy -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> Brak pliku
BHO: Brak nazwy -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> Brak pliku
BHO-x32: Brak nazwy -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> Brak pliku
FF NewTab: Mozilla\Firefox\Profiles\9c7nsbke.default -> C:\ProgramData\Quotenamrons\ff.NT
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\9c7nsbke.default -> findit
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\9c7nsbke.default -> omiga-plus
FF Homepage: Mozilla\Firefox\Profiles\9c7nsbke.default -> C:\ProgramData\Quotenamrons\ff.HP
FF SearchPlugin: C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\9c7nsbke.default\searchplugins\findit.xml [2016-09-26]
FF SearchPlugin: C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\9c7nsbke.default\searchplugins\omiga-plus.xml [2015-11-10]
R2 backlh; C:\ProgramData\Logic Handler\set.exe [2089472 2016-05-15] () [brak podpisu cyfrowego]
RemoveDirectory: C:\ProgramData\Logic Handler
S2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [694784 2016-07-06] () [brak podpisu cyfrowego]
R1 {693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gw64; C:\WINDOWS\System32\drivers\{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gw64.sys [48792 2015-01-13] (StdLib)
C:\WINDOWS\System32\drivers\{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gw64.sys
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6B754F16-740F-41B3-A887-AA4AE2256CAE}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{6B754F16-740F-41B3-A887-AA4AE2256CAE}
2016-07-06 13:49 - 2016-07-06 13:49 - 6870016 _____ () C:\Users\Dawid\AppData\Roaming\agent.dat
2016-07-06 13:49 - 2016-07-06 13:49 - 0067968 _____ () C:\Users\Dawid\AppData\Roaming\Config.xml
2016-07-06 13:49 - 2016-07-06 13:49 - 0014448 _____ () C:\Users\Dawid\AppData\Roaming\InstallationConfiguration.xml
2016-07-06 13:49 - 2016-07-06 13:49 - 0128512 _____ () C:\Users\Dawid\AppData\Roaming\Installer.dat
2016-07-06 13:49 - 2016-07-06 13:49 - 0018432 _____ () C:\Users\Dawid\AppData\Roaming\Main.dat
2016-07-06 13:49 - 2016-07-06 13:49 - 0005568 _____ () C:\Users\Dawid\AppData\Roaming\md.xml
2016-07-06 13:49 - 2016-07-06 13:49 - 0694784 _____ () C:\Users\Dawid\AppData\Roaming\Newdax.exe
2016-07-06 13:49 - 2016-07-06 13:49 - 1760781 _____ () C:\Users\Dawid\AppData\Roaming\Newdax.tst
2016-07-06 13:49 - 2016-07-06 13:49 - 0126464 _____ () C:\Users\Dawid\AppData\Roaming\noah.dat
2016-07-06 13:49 - 2016-07-06 13:49 - 2279413 _____ () C:\Users\Dawid\AppData\Roaming\Trippledax.bin
2016-07-06 13:49 - 2016-07-06 13:49 - 0032038 _____ () C:\Users\Dawid\AppData\Roaming\uninstall_temp.ico
C:\Users\Dawid\Links\GoPro.lnk
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Użyj >Adw-cleaner
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk OCZYŚĆ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

 

3) Zrób nowe logi FRST.

 

jessi

[Buchu]

Przesyłam nowe logi z FRST i Adw-Cleaner.

 

//Edit: Nie wiem, czy cały proces się powiódł, ale na pewno został usunięty Quotenamron i wszystko póki co działa jak powinno. Nie wiem, jak mam dziękować, bardzo pomogło!

Addition.txt

FRST.txt

Shortcut.txt

Fixlog.txt

AdwCleanerC0.txt

AdwCleanerS0.txt

[jessica]

Otwórz Notatnik i wklej w nim:

 

FF user.js: detected! => C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\9c7nsbke.default\user.js [2015-01-13]
FF NewTab: Mozilla\Firefox\Profiles\9c7nsbke.default -> C:\ProgramData\Quotenamrons\ff.NT
FF Homepage: Mozilla\Firefox\Profiles\9c7nsbke.default -> C:\ProgramData\Quotenamrons\ff.HP
C:\ProgramData\Quotenamrons
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Zrób nowy log FRST - już bez Addition, i bez Shortcut.

 

jessi