Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Jak usunąć SafeFinder ? Logi z FRST

klops2580 13 Mar 2016 13:32 1077 8
  • Pomocny post
    #2 13 Mar 2016 13:40
    Kolobos
    Spec od komputerów

    Nie pobieraj programow z dobrychprogramow przy pomocy menadzera pobierania, ktory instaluje szkodliwe oprogramowanie!

    Odinstaluj:
    PriceFountain
    SafeFinder (w razie problemow zrob to po wykonaniu skryptu)
    Update for PriceFountain

    Fixlist.txt dla FRST:
    Task: {AAAFDE62-D9B9-4FFA-A381-C90413915DED} - System32\Tasks\DrapsaValeStalingV2 => Rundll32.exe ConnecterMedications.dll,main 7 1 <==== UWAGA
    Task: {BD393926-CE3A-482D-88EC-C124A58B6EEC} - System32\Tasks\PriceFountainUpdateVer => C:\Users\Drapsa\AppData\Roaming\PriceFountainUpdateVer\UpdateProc\UpdateTask.exe [2016-03-13] () <==== UWAGA
    Task: C:\Windows\Tasks\PriceFountainUpdateVer.job => C:\Users\Drapsa\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA
    2016-03-13 12:23 - 2016-03-13 12:23 - 00761856 _____ () C:\ProgramData\Viatax\Viatax.exe
    2016-03-13 12:24 - 2016-03-13 12:24 - 00363520 _____ () C:\ProgramData\Viatax\RanSolostrong.dll
    2016-03-13 12:16 - 2016-03-13 12:16 - 00356864 _____ () C:\Users\Drapsa\AppData\Local\ValeStaling\ConnecterMedications.dll
    () C:\ProgramData\Viatax\Viatax.exe
    () C:\ProgramData\Viatax\Viatax.exe
    HKU\S-1-5-21-2368741182-2679129103-48369962-1001\...\MountPoints2: {64080c07-e907-11e5-b44a-806e6f6e6963} - E:\Bin\assetup.exe
    AppInit_DLLs: C:\ProgramData\Viatax\RanSolostrong.dll => C:\ProgramData\Viatax\RanSolostrong.dll [363520 2016-03-13] ()
    AppInit_DLLs-x32: C:\ProgramData\Viatax\Trustsoft.dll => C:\ProgramData\Viatax\Trustsoft.dll [257536 2016-03-13] ()
    HKU\S-1-5-21-2368741182-2679129103-48369962-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...dVjpsV93A9K6mmsCB66TGXtbN5dBPJcIQY3vw,&q={searchTerms}
    HKU\S-1-5-21-2368741182-2679129103-48369962-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F...JQfAOuc10I00U_fyZonnpP6gUEmIYihvn8OhjkiWkbu4,,
    HKU\S-1-5-21-2368741182-2679129103-48369962-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...dVjpsV93A9K6mmsCB66TGXtbN5dBPJcIQY3vw,&q={searchTerms}




    HKU\S-1-5-21-2368741182-2679129103-48369962-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...dVjpsV93A9K6mmsCB66TGXtbN5dBPJcIQY3vw,&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...dVjpsV93A9K6mmsCB66TGXtbN5dBPJcIQY3vw,&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2368741182-2679129103-48369962-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...dVjpsV93A9K6mmsCB66TGXtbN5dBPJcIQY3vw,&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2368741182-2679129103-48369962-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...dVjpsV93A9K6mmsCB66TGXtbN5dBPJcIQY3vw,&q={searchTerms}
    R2 Viatax; C:\ProgramData\\Viatax\\Viatax.exe [761856 2016-03-13] () [Brak podpisu cyfrowego]
    2016-03-13 12:24 - 2016-03-13 12:24 - 00002393 _____ C:\Windows\SysWOW64\findit.xml
    2016-03-13 12:24 - 2016-03-13 12:24 - 00000000 ____D C:\ProgramData\Viataxs
    2016-03-13 12:23 - 2016-03-13 13:08 - 00000000 ____D C:\ProgramData\Viatax
    2016-03-13 12:23 - 2016-03-13 13:07 - 00000296 _____ C:\Windows\Tasks\PriceFountainUpdateVer.job
    2016-03-13 12:23 - 2016-03-13 12:24 - 00003252 _____ C:\Windows\System32\Tasks\PriceFountainUpdateVer
    2016-03-13 12:23 - 2016-03-13 12:23 - 07600640 _____ C:\Users\Drapsa\AppData\Roaming\agent.dat
    2016-03-13 12:23 - 2016-03-13 12:23 - 01786944 _____ C:\Users\Drapsa\AppData\Roaming\Conflex.tst
    2016-03-13 12:23 - 2016-03-13 12:23 - 01035488 _____ (Cafahalo ) C:\Users\Drapsa\Downloads\Firefox-13108-dp.exe
    2016-03-13 12:23 - 2016-03-13 12:23 - 00761856 _____ C:\Users\Drapsa\AppData\Roaming\Conflex.exe
    2016-03-13 12:23 - 2016-03-13 12:23 - 00127488 _____ C:\Users\Drapsa\AppData\Roaming\Installer.dat
    2016-03-13 12:23 - 2016-03-13 12:23 - 00126464 _____ C:\Users\Drapsa\AppData\Roaming\noah.dat
    2016-03-13 12:23 - 2016-03-13 12:23 - 00065040 _____ C:\Users\Drapsa\AppData\Roaming\Config.xml
    2016-03-13 12:23 - 2016-03-13 12:23 - 00018432 _____ C:\Users\Drapsa\AppData\Roaming\Main.dat
    2016-03-13 12:23 - 2016-03-13 12:23 - 00011424 _____ C:\Users\Drapsa\AppData\Roaming\InstallationConfiguration.xml
    2016-03-13 12:23 - 2016-03-13 12:23 - 00005568 _____ C:\Users\Drapsa\AppData\Roaming\md.xml
    2016-03-13 12:23 - 2016-03-13 12:23 - 00003446 _____ C:\Windows\System32\Tasks\DrapsaValeStalingV2
    2016-03-13 12:23 - 2016-03-13 12:23 - 00000293 _____ C:\Users\Drapsa\Desktop\allegro.pl.URL
    2016-03-13 12:23 - 2016-03-13 12:23 - 00000284 _____ C:\Users\Drapsa\Desktop\Booking.URL
    2016-03-13 12:23 - 2016-03-13 12:23 - 00000000 ____D C:\Users\Drapsa\AppData\Roaming\PriceFountainUpdateVer
    2016-03-13 12:23 - 2016-03-13 12:23 - 00000000 ____D C:\Users\Drapsa\AppData\Local\ValeStaling
    2016-03-13 12:24 - 2016-03-13 12:24 - 0032038 _____ () C:\Users\Drapsa\AppData\Roaming\uninstall_temp.ico
    EmptyTemp:


    Zainstaluj aktualizacje z https://support.microsoft.com/en-us/kb/2545227

    Po wykonaniu wszystkiego usun katalog C:\FRST i to wszystko.

    0
  • Pomocny post
    #4 17 Mar 2016 12:37
    Kolobos
    Spec od komputerów

    Mozesz napisac jak doszlo do infekcji? Zgaduje, ze ma z tym zwiazek instalacja DT?

    Fixlist.txt dla FRST:
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\WinTaske.job => C:\Program Files\WinTaske\WinTaske\WinTaske.exe
    () C:\Documents and Settings\All Users\Dane aplikacji\Quotenamron\Quotenamron.exe
    HKU\S-1-5-21-1454471165-1677128483-725345543-1004\...\MountPoints2: {f1fabce0-ec17-11e5-a5fd-d4f42b9bdc08} - E:\setup.exe
    AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Quotenamron\Betadom.dll => C:\Documents and Settings\All Users\Dane aplikacji\Quotenamron\Betadom.dll [257536 2016-03-17] ()
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...T108GLR5IgmEAZzEBfq4tvg1ycYcjx4_Bmiyo6RdQs_s,,
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...T108GLR5IgmEAZzEBfq4tvg1ycYcjx4_Bmiyo6RdQs_s,,
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    HKU\S-1-5-21-1454471165-1677128483-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...T108GLR5IgmEAZzEBfq4tvg1ycYcjx4_Bmiyo6RdQs_s,,
    HKU\S-1-5-21-1454471165-1677128483-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    HKU\S-1-5-21-1454471165-1677128483-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    HKU\S-1-5-21-1454471165-1677128483-725345543-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    SearchScopes: HKU\S-1-5-19 -> {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    SearchScopes: HKU\S-1-5-20 -> {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1454471165-1677128483-725345543-1004 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1454471165-1677128483-725345543-1004 -> {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...eRR5L23M8pGqIcvcaiBsQmZRqFopdHMx1PplVYMOc,&q={searchTerms}
    CHR HKLM\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
    S2 ggbugreport; C:\Program Files\SearchesToYesbnd\bugreport.exe [1592888 2016-03-15] () [Brak podpisu cyfrowego]
    R2 Quotenamron; C:\Documents and Settings\All Users\Dane aplikacji\\Quotenamron\\Quotenamron.exe [761856 2016-03-17] () [Brak podpisu cyfrowego]
    S2 Winsere; C:\Program Files\Winsere\Winsere\Winsere.exe [306736 2016-03-15] () [Brak podpisu cyfrowego]
    2016-03-17 10:25 - 2016-03-17 12:02 - 00000000 ____D C:\Documents and Settings\All Users\Dane aplikacji\Quotenamron
    2016-03-17 10:25 - 2016-03-17 10:25 - 06493696 _____ C:\Documents and Settings\Drapsa\Dane aplikacji\agent.dat
    2016-03-17 10:25 - 2016-03-17 10:25 - 01621967 _____ C:\Documents and Settings\Drapsa\Dane aplikacji\Finnix.tst
    2016-03-17 10:25 - 2016-03-17 10:25 - 00761856 _____ C:\Documents and Settings\Drapsa\Dane aplikacji\Finnix.exe
    2016-03-17 10:25 - 2016-03-17 10:25 - 00400445 _____ C:\Documents and Settings\Drapsa\Dane aplikacji\Dingit.bin
    2016-03-17 10:25 - 2016-03-17 10:25 - 00127488 _____ C:\Documents and Settings\Drapsa\Dane aplikacji\Installer.dat
    2016-03-17 10:25 - 2016-03-17 10:25 - 00126464 _____ C:\Documents and Settings\Drapsa\Dane aplikacji\noah.dat
    2016-03-17 10:25 - 2016-03-17 10:25 - 00064848 _____ C:\Documents and Settings\Drapsa\Dane aplikacji\Config.xml
    2016-03-17 10:25 - 2016-03-17 10:25 - 00018432 _____ C:\Documents and Settings\Drapsa\Dane aplikacji\Main.dat
    2016-03-17 10:25 - 2016-03-17 10:25 - 00014256 _____ C:\Documents and Settings\Drapsa\Dane aplikacji\InstallationConfiguration.xml
    2016-03-17 10:25 - 2016-03-17 10:25 - 00005568 _____ C:\Documents and Settings\Drapsa\Dane aplikacji\md.xml
    2016-03-17 10:25 - 2016-03-17 10:25 - 00002386 _____ C:\WINDOWS\system32\findit.xml
    2016-03-17 10:25 - 2016-03-17 10:25 - 00000000 ____D C:\Program Files\Common Files\Touchfax
    2016-03-17 10:25 - 2016-03-17 10:25 - 00000000 ____D C:\Documents and Settings\All Users\Dane aplikacji\Quotenamrons
    2016-03-17 09:25 - 2016-03-17 11:26 - 00001512 _____ C:\WINDOWS\Tasks\WinTaske.job
    2016-03-17 09:25 - 2016-03-17 09:25 - 00000000 ____D C:\Program Files\WinTaske
    2016-03-17 09:25 - 2016-03-17 09:25 - 00000000 ____D C:\Program Files\Winsere
    2016-03-17 09:24 - 2016-03-17 12:01 - 00000000 ____D C:\Program Files\SearchesToYesbnd
    2016-03-17 10:25 - 2016-03-17 10:25 - 6493696 _____ () C:\Documents and Settings\Drapsa\Dane aplikacji\agent.dat
    2016-03-17 10:25 - 2016-03-17 10:25 - 0064848 _____ () C:\Documents and Settings\Drapsa\Dane aplikacji\Config.xml
    2016-03-17 10:25 - 2016-03-17 10:25 - 0400445 _____ () C:\Documents and Settings\Drapsa\Dane aplikacji\Dingit.bin
    2016-03-17 10:25 - 2016-03-17 10:25 - 0761856 _____ () C:\Documents and Settings\Drapsa\Dane aplikacji\Finnix.exe
    2016-03-17 10:25 - 2016-03-17 10:25 - 1621967 _____ () C:\Documents and Settings\Drapsa\Dane aplikacji\Finnix.tst
    2016-03-17 10:25 - 2016-03-17 10:25 - 0014256 _____ () C:\Documents and Settings\Drapsa\Dane aplikacji\InstallationConfiguration.xml
    2016-03-17 10:25 - 2016-03-17 10:25 - 0127488 _____ () C:\Documents and Settings\Drapsa\Dane aplikacji\Installer.dat
    2016-03-17 10:25 - 2016-03-17 10:25 - 0018432 _____ () C:\Documents and Settings\Drapsa\Dane aplikacji\Main.dat
    2016-03-17 10:25 - 2016-03-17 10:25 - 0005568 _____ () C:\Documents and Settings\Drapsa\Dane aplikacji\md.xml
    2016-03-17 10:25 - 2016-03-17 10:25 - 0126464 _____ () C:\Documents and Settings\Drapsa\Dane aplikacji\noah.dat
    2016-03-17 10:25 - 2016-03-17 10:25 - 0032038 _____ () C:\Documents and Settings\Drapsa\Dane aplikacji\uninstall_temp.ico
    EmptyTemp:

    0
  • #5 17 Mar 2016 12:48
    klops2580
    Poziom 11  

    co masz na myśli pod słowami instalacja DT? myślę że złapał infekcje instalując utorenta

    0
  • #6 17 Mar 2016 13:17
    Kolobos
    Spec od komputerów

    Daemon Tools.

    0
  • #7 17 Mar 2016 14:02
    klops2580
    Poziom 11  

    tak to też zainstalowałem :D

    0
  • Pomocny post
    #8 17 Mar 2016 14:34
    Kolobos
    Spec od komputerów

    Jezeli juz wszystko jest ok, to usun katalog C:\FRST i to wszystko.

    0
  • #9 17 Mar 2016 14:37
    klops2580
    Poziom 11  

    Tak zrobiłem i jest ok, katalog usunięty. Dzięki WIELKIE :)

    0