Skocz do zawartości

SafeFinder, Quotenamron, Quotenamrons - pomoc w usunięciu


Rekomendowane odpowiedzi

Witam,

 

Mam problem z pozbyciem się tego dziadostwa jak w temacie.

Niestety zanim trafiłem na forum, zdążyłem odinstalować PriceFountain, SafeFinder, Update for PriceFountain.

Skany wykonane po odinstalowaniu powyższych. Bardzo proszę o pomoc w oczyszczeniu komputera.

Poniżej wymagane logi.

 

EDIT: Ku przestrodze dodam że, użytkownik komputera złapał ten syf via hxxp://meczyki.pl oglądając jakiegoś streama. 

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Edytowane przez Rucek
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Tą stroną zajmę się ew. później. 

 


 

Usuwam infekcję Quotenamron oraz inne adware, które m.in zmodyfikowała skróty przeglądarek i Harmonogram Zadań. Co do tego drugiego to jednak nie będzie on czyszczony przez FRST całościowo, bo ilość wpisów Quotenamron mogłaby zawiesić system i samo FRST. Limit posta również zablokuję mi wiadomość ze względów bezpieczeństwa.

 

Zdaję się na to, że uda się go odinstalować lub przynajmniej usunąć jego wszystkie elementy z pominięciem Harmonogramu Zadań. 

 

Portale z oprogramowaniem / Instalatory - na co uważać

 

1. Wejdź do folderu C:\ProgramData\\Quotenamron i z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa pliku zbliżona do uninstall.exe).

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {167C0F0B-1DA5-4D0C-931D-6C668B9CEFFB} - System32\Tasks\snf => C:\ProgramData\Quotenamron\Quotenamron.exe [2016-04-02] () 
Task: {D45255EB-5729-493F-A504-22B3D35C184E} - System32\Tasks\snp => C:\ProgramData\Quotenamron\Quotenamron.exe [2016-04-02] () 
Task: {938405A3-4042-4059-AF71-B2DB1ABB9A30} - System32\Tasks\Radosław GwiazdaCosmogonicWerewolvesV2 => Rundll32.exe ChicoryAromatics.dll,main 7 1 
Task: {D2D37B66-6FE4-415F-8560-8723B0AD8BE7} - System32\Tasks\{69F462A4-A395-36C9-A56F-545E11228F88} => C:\Users\RADOSA~1\AppData\Roaming\{69F46~1\SYNCVE~1.EXE  
Task: C:\Windows\Tasks\{69F462A4-A395-36C9-A56F-545E11228F88}.job => C:\Users\RADOSA~1\AppData\Roaming\{69F46~1\SYNCVE~1.EXE 
C:\Users\RADOSA~1\AppData\Roaming\{69F46~1
ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
HKU\S-1-5-21-875974235-824227338-3367428378-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms}
HKU\S-1-5-21-875974235-824227338-3367428378-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSmRPnb47s-pxrJ1YpnhOqNc9eYjsDuOq779sh50SB8t-_IXUnFwVLh2r9o-MVh0kJzkYxpKVHwJAk
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-875974235-824227338-3367428378-1001 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms}
SearchScopes: HKU\S-1-5-21-875974235-824227338-3367428378-1001 -> {EB11FC60-423A-437F-8019-2F2F6E4D7D22} URL = 
SearchScopes: HKU\S-1-5-21-875974235-824227338-3367428378-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms}
CHR HomePage: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlSgkQQgl4QIln_w_iAiQt17J-DYCXK4zrBecwuWsHvFVnJRiHaLNe71Hk5a51fTUlhfcoKz6A2Ln
2016-04-02 18:22 - 2016-04-02 18:22 - 6504960 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\agent.dat
2016-04-02 18:22 - 2016-04-02 18:22 - 1132544 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Blackkeydox.exe
2016-04-02 18:22 - 2016-04-02 18:22 - 1626339 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Blackkeydox.tst
2016-04-02 18:22 - 2016-04-02 18:22 - 0065232 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Config.xml
2016-04-02 18:22 - 2016-04-02 18:22 - 0233797 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\inst.lat
2016-04-02 18:22 - 2016-04-02 18:22 - 0014208 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\InstallationConfiguration.xml
2016-04-02 18:22 - 2016-04-02 18:22 - 0127488 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Installer.dat
2016-04-02 18:22 - 2016-04-02 18:22 - 0018432 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Main.dat
2016-04-02 18:22 - 2016-04-02 18:22 - 0005568 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\md.xml
2016-04-02 18:22 - 2016-04-02 18:22 - 0126464 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\noah.dat
2016-04-02 18:23 - 2016-04-02 18:23 - 0032038 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\uninstall_temp.ico
2016-04-02 18:22 - 2016-04-02 18:22 - 0402905 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Unodox.bin
S2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [1132544 2016-04-02] () [brak podpisu cyfrowego]
AppInit_DLLs: C:\ProgramData\Quotenamron\U-hold.dll => C:\ProgramData\Quotenamron\U-hold.dll [358912 2017-03-16] ()
AppInit_DLLs-x32: C:\ProgramData\Quotenamron\FreshDonfresh.dll => C:\ProgramData\Quotenamron\FreshDonfresh.dll [1245 2017-05-13] ()
RemoveDirectory: C:\ProgramData\\Quotenamron
CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms}
CHR DefaultSearchKeyword: Default -> SafeFinder
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk
C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\UserGuide.lnk
DeleteKey: HKCU\Software\Mozilla\Firefox
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Radosław Gwiazda\AppData\Local\Mozilla\Firefox
C:\Users\Radosław Gwiazda\AppData\Roaming\Mozilla\Firefox
C:\Users\Radosław Gwiazda\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin
4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt.

Odnośnik do komentarza
niestety już nie mogę dłużej przetrzymywać komputera użytkownika. Mogę prosić o napisanie jedynie czy zastosowane rozwiązania oczyściły komputer?

 

A tu, jak na złość, nie ma komu tym się zająć , bo:

https://www.fixitpc.pl/topic/32661-uwaga-s%C4%85-op%C3%B3%C5%BAnienia-w-odpowiadaniu-nie-ma-os%C3%B3b-odpowiedzialnych-za-pomoc-trzeba-troch%C4%99-poczek%C4%87/

 

Do usuwania jest jeszcze dużo, więc zaraz przygotuję Ci "fixlist"

 

1) Adw-Cleaner: najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk OCZYŚĆ (CLEANING), to kliknij na niego.

 

2) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego tekst z tego linku:

http://wklejto.pl/283472

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

3) Uruchom Google Chrome

> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >

> Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron >

> Kliknij: Wybierz strony >

> Usuń: dziwną stronę, wpisz nowy adres strony głównej i kliknij przycisk OK.

 

jessi

 

Odnośnik do komentarza

 

Przecież brak odpowiedzi nie jest spowodowany złością. Nikt kto tu pomagał się nią nie kierował.

Od roku pomagam, dużo ludzi otrzymało pomoc, ale nie jestem w stanie obsłużyć wszystkich, a już na pewno nie wtedy kiedy nie ma mnie w domu. 

 

Dziękuję, że w lukach kiedy nie ma nikogo do pomocy pomagasz, ale proszę nie rzucaj nam kłód pod nogi.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...