polek172 Opublikowano 19 Maja 2017 Zgłoś Udostępnij Opublikowano 19 Maja 2017 (edytowane) Witam, Mam problem z pozbyciem się tego dziadostwa jak w temacie. Niestety zanim trafiłem na forum, zdążyłem odinstalować PriceFountain, SafeFinder, Update for PriceFountain. Skany wykonane po odinstalowaniu powyższych. Bardzo proszę o pomoc w oczyszczeniu komputera. Poniżej wymagane logi. EDIT: Ku przestrodze dodam że, użytkownik komputera złapał ten syf via hxxp://meczyki.pl oglądając jakiegoś streama. Addition.txt FRST.txt GMER.txt Shortcut.txt Edytowane 19 Maja 2017 przez Rucek Odnośnik do komentarza
Miszel03 Opublikowano 19 Maja 2017 Zgłoś Udostępnij Opublikowano 19 Maja 2017 Tą stroną zajmę się ew. później. Usuwam infekcję Quotenamron oraz inne adware, które m.in zmodyfikowała skróty przeglądarek i Harmonogram Zadań. Co do tego drugiego to jednak nie będzie on czyszczony przez FRST całościowo, bo ilość wpisów Quotenamron mogłaby zawiesić system i samo FRST. Limit posta również zablokuję mi wiadomość ze względów bezpieczeństwa. Zdaję się na to, że uda się go odinstalować lub przynajmniej usunąć jego wszystkie elementy z pominięciem Harmonogramu Zadań. Portale z oprogramowaniem / Instalatory - na co uważać 1. Wejdź do folderu C:\ProgramData\\Quotenamron i z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa pliku zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {167C0F0B-1DA5-4D0C-931D-6C668B9CEFFB} - System32\Tasks\snf => C:\ProgramData\Quotenamron\Quotenamron.exe [2016-04-02] () Task: {D45255EB-5729-493F-A504-22B3D35C184E} - System32\Tasks\snp => C:\ProgramData\Quotenamron\Quotenamron.exe [2016-04-02] () Task: {938405A3-4042-4059-AF71-B2DB1ABB9A30} - System32\Tasks\Radosław GwiazdaCosmogonicWerewolvesV2 => Rundll32.exe ChicoryAromatics.dll,main 7 1 Task: {D2D37B66-6FE4-415F-8560-8723B0AD8BE7} - System32\Tasks\{69F462A4-A395-36C9-A56F-545E11228F88} => C:\Users\RADOSA~1\AppData\Roaming\{69F46~1\SYNCVE~1.EXE Task: C:\Windows\Tasks\{69F462A4-A395-36C9-A56F-545E11228F88}.job => C:\Users\RADOSA~1\AppData\Roaming\{69F46~1\SYNCVE~1.EXE C:\Users\RADOSA~1\AppData\Roaming\{69F46~1 ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% HKU\S-1-5-21-875974235-824227338-3367428378-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms} HKU\S-1-5-21-875974235-824227338-3367428378-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSmRPnb47s-pxrJ1YpnhOqNc9eYjsDuOq779sh50SB8t-_IXUnFwVLh2r9o-MVh0kJzkYxpKVHwJAk SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-875974235-824227338-3367428378-1001 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms} SearchScopes: HKU\S-1-5-21-875974235-824227338-3367428378-1001 -> {EB11FC60-423A-437F-8019-2F2F6E4D7D22} URL = SearchScopes: HKU\S-1-5-21-875974235-824227338-3367428378-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms} CHR HomePage: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlSgkQQgl4QIln_w_iAiQt17J-DYCXK4zrBecwuWsHvFVnJRiHaLNe71Hk5a51fTUlhfcoKz6A2Ln 2016-04-02 18:22 - 2016-04-02 18:22 - 6504960 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\agent.dat 2016-04-02 18:22 - 2016-04-02 18:22 - 1132544 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Blackkeydox.exe 2016-04-02 18:22 - 2016-04-02 18:22 - 1626339 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Blackkeydox.tst 2016-04-02 18:22 - 2016-04-02 18:22 - 0065232 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Config.xml 2016-04-02 18:22 - 2016-04-02 18:22 - 0233797 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\inst.lat 2016-04-02 18:22 - 2016-04-02 18:22 - 0014208 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\InstallationConfiguration.xml 2016-04-02 18:22 - 2016-04-02 18:22 - 0127488 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Installer.dat 2016-04-02 18:22 - 2016-04-02 18:22 - 0018432 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Main.dat 2016-04-02 18:22 - 2016-04-02 18:22 - 0005568 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\md.xml 2016-04-02 18:22 - 2016-04-02 18:22 - 0126464 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\noah.dat 2016-04-02 18:23 - 2016-04-02 18:23 - 0032038 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\uninstall_temp.ico 2016-04-02 18:22 - 2016-04-02 18:22 - 0402905 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Unodox.bin S2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [1132544 2016-04-02] () [brak podpisu cyfrowego] AppInit_DLLs: C:\ProgramData\Quotenamron\U-hold.dll => C:\ProgramData\Quotenamron\U-hold.dll [358912 2017-03-16] () AppInit_DLLs-x32: C:\ProgramData\Quotenamron\FreshDonfresh.dll => C:\ProgramData\Quotenamron\FreshDonfresh.dll [1245 2017-05-13] () RemoveDirectory: C:\ProgramData\\Quotenamron CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms} CHR DefaultSearchKeyword: Default -> SafeFinder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\UserGuide.lnk DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Radosław Gwiazda\AppData\Local\Mozilla\Firefox C:\Users\Radosław Gwiazda\AppData\Roaming\Mozilla\Firefox C:\Users\Radosław Gwiazda\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt. Odnośnik do komentarza
polek172 Opublikowano 22 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2017 (edytowane) a.d.1 Nie znalazłem pliku uninstall.exe. Może to być efekt odinstalowania via "programy i funkcje" Co do pozostałych punktów to wszystko zostało wykonane. W załączniku nowe logi. AdwCleanerS0.txt FRST.txt Shortcut.txt Addition.txt Edytowane 22 Maja 2017 przez Rucek Odnośnik do komentarza
polek172 Opublikowano 24 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 24 Maja 2017 Cześć, niestety już nie mogę dłużej przetrzymywać komputera użytkownika. Mogę prosić o napisanie jedynie czy zastosowane rozwiązania oczyściły komputer? Odnośnik do komentarza
polek172 Opublikowano 26 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 26 Maja 2017 Podbijam Odnośnik do komentarza
jessica Opublikowano 26 Maja 2017 Zgłoś Udostępnij Opublikowano 26 Maja 2017 niestety już nie mogę dłużej przetrzymywać komputera użytkownika. Mogę prosić o napisanie jedynie czy zastosowane rozwiązania oczyściły komputer? A tu, jak na złość, nie ma komu tym się zająć , bo: https://www.fixitpc.pl/topic/32661-uwaga-s%C4%85-op%C3%B3%C5%BAnienia-w-odpowiadaniu-nie-ma-os%C3%B3b-odpowiedzialnych-za-pomoc-trzeba-troch%C4%99-poczek%C4%87/ Do usuwania jest jeszcze dużo, więc zaraz przygotuję Ci "fixlist" 1) Adw-Cleaner: najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk OCZYŚĆ (CLEANING), to kliknij na niego. 2) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego tekst z tego linku: http://wklejto.pl/283472 Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). 3) Uruchom Google Chrome > Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia > > Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron > > Kliknij: Wybierz strony > > Usuń: dziwną stronę, wpisz nowy adres strony głównej i kliknij przycisk OK. jessi Odnośnik do komentarza
polek172 Opublikowano 26 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 26 Maja 2017 jessi dzięki Ci z całego serducha! Zrobiłem wszystko zgodnie z "manualem". Czy załączyć ponownie logi? Odnośnik do komentarza
jessica Opublikowano 26 Maja 2017 Zgłoś Udostępnij Opublikowano 26 Maja 2017 Czy załączyć ponownie logi? specjalnie nie prosiłam o nowe logi, bo przeciez już i tak oddajesz komputer. jessi Odnośnik do komentarza
polek172 Opublikowano 26 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 26 Maja 2017 Już oddałem. Jeszze raz dziękuję Można zamykać Odnośnik do komentarza
Miszel03 Opublikowano 28 Maja 2017 Zgłoś Udostępnij Opublikowano 28 Maja 2017 A tu, jak na złość, nie ma komu tym się zająć , bo: https://www.fixitpc.pl/topic/32661-uwaga-s%C4%85-op%C3%B3%C5%BAnienia-w-odpowiadaniu-nie-ma-os%C3%B3b-odpowiedzialnych-za-pomoc-trzeba-troch%C4%99-poczek%C4%87/ Przecież brak odpowiedzi nie jest spowodowany złością. Nikt kto tu pomagał się nią nie kierował. Od roku pomagam, dużo ludzi otrzymało pomoc, ale nie jestem w stanie obsłużyć wszystkich, a już na pewno nie wtedy kiedy nie ma mnie w domu. Dziękuję, że w lukach kiedy nie ma nikogo do pomocy pomagasz, ale proszę nie rzucaj nam kłód pod nogi. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się