Niechciana wyszukiwarka i wolno działający system

Dla specjalistów Bezpieczeństwo
#1

Witam,

 

Mam problem z usunięciem wyszukiwarki safefinder. Usuwałem ją za pomocą deinstalatora, później ręcznie folder i za pomocą ccleaner, oraz mimo usunięcia w rozszerzeniach google, nadal ona się pojawia. Drugim problemem jest to, że system wolno działa, przez ciągłe aktualizacje Windows8 i zapycha mi cały dysk C gdzie mam tylko system, czy da się coś z tym zrobić?. Oto logi:

 

FRST:

http://www.wklej.org/id/1781380/

 

Addition:

http://www.wklej.org/id/1781385/

 

Shortcut:

http://www.wklej.org/id/1781383/

 

Z góry dziękuję za pomoc!

 

#2

Pobierz i uruchom AdwCleaner Kliknij Scan i później Cleaning.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

#3

Zrobione. Oto logi:

 

FRST:

http://www.wklej.org/id/1781446/

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

() C:\ProgramData\Tristip\Tristip.exe
() C:\ProgramData\Tristip\U-tex.exe
AppInit_DLLs: C:\ProgramData\Tristip\Trisaplight.dll => C:\ProgramData\Tristip\Trisaplight.dll [135680 2015-08-22] ()
AppInit_DLLs-x32: C:\ProgramData\Tristip\Move-Lax.dll => C:\ProgramData\Tristip\Move-Lax.dll [121344 2015-08-22] ()
GroupPolicyScripts: Group Policy detected <======= ATTENTION
HKU\S-1-5-21-778362455-3007206512-835890511-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpbJL9Db1ZbuC5oDUGWFsvbhRJfCVBYOcPqKwpkp9iuAjoCTs_bUD7Oo44JIZc3hGD_eyqZz_JeRs3oMgzP6ssjsBXgYmdzu8AAz1aAyFU4-5PKM280g5tVSRkeyA4L16gvsbeMZ7-9aYg,,&q={searchTerms}
HKU\S-1-5-21-778362455-3007206512-835890511-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpbJL9Db1ZbuC5oDUGWFsvbhRJfCVBYOcPqKwpkp9iuAjoCTs_bUD7Oo44JIZc3hGDNf1ZF2vepK-UlLecAu6eEtEsKX9GWWux_BUhOsgsBos__C4urBhOuGP-31R1tcxARSxZkQr0Mamg,,
HKU\S-1-5-21-778362455-3007206512-835890511-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpbJL9Db1ZbuC5oDUGWFsvbhRJfCVBYOcPqKwpkp9iuAjoCTs_bUD7Oo44JIZc3hGD_eyqZz_JeRs3oMgzP6ssjsBXgYmdzu8AAz1aAyFU4-5PKM280g5tVSRkeyA4L16gvsbeMZ7-9aYg,,&q={searchTerms}
HKU\S-1-5-21-778362455-3007206512-835890511-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpbJL9Db1ZbuC5oDUGWFsvbhRJfCVBYOcPqKwpkp9iuAjoCTs_bUD7Oo44JIZc3hGD_eyqZz_JeRs3oMgzP6ssjsBXgYmdzu8AAz1aAyFU4-5PKM280g5tVSRkeyA4L16gvsbeMZ7-9aYg,,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKU\S-1-5-21-778362455-3007206512-835890511-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpbJL9Db1ZbuC5oDUGWFsvbhRJfCVBYOcPqKwpkp9iuAjoCTs_bUD7Oo44JIZc3hGD_eyqZz_JeRs3oMgzP6ssjsBXgYmdzu8AAz1aAyFU4-5PKM280g5tVSRkeyA4L16gvsbeMZ7-9aYg,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-778362455-3007206512-835890511-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpbJL9Db1ZbuC5oDUGWFsvbhRJfCVBYOcPqKwpkp9iuAjoCTs_bUD7Oo44JIZc3hGD_eyqZz_JeRs3oMgzP6ssjsBXgYmdzu8AAz1aAyFU4-5PKM280g5tVSRkeyA4L16gvsbeMZ7-9aYg,,&q={searchTerms}
FF NewTab: C:\\ProgramData\\Tristips\\ff.NT
FF DefaultSearchEngine: findit
FF Homepage: C:\\ProgramData\\Tristips\\ff.HP
R2 Tristip; C:\ProgramData\Tristip\Tristip.exe [22528 2015-08-22] () [File not signed]
2015-08-22 15:59 - 2015-08-22 15:59 - 00000000 ____ D C:\AdwCleaner
2015-08-22 13:39 - 2015-08-22 13:40 - 00000000 ____ D C:\ProgramData\Tristip
2015-08-22 13:39 - 2015-08-22 13:39 - 00000000 ____ D C:\ProgramData\Tristips
2015-01-05 16:24 - 2015-01-05 16:24 - 0000024 ___SH () C:\Users\Hevron\AppData\Roaming\1D959CA221C7573.sys
2015-08-22 13:40 - 2015-08-22 13:40 - 0000020 ___SH () C:\Users\Hevron\AppData\Roaming\Sys11965 DataCollection.dat
2015-08-22 13:40 - 2015-08-22 13:40 - 0000020 ___SH () C:\Users\Hevron\AppData\Roaming\System413_DataDB.ind
2015-01-05 16:24 - 2015-01-05 16:24 - 0000024 ___SH () C:\Users\Hevron\AppData\Roaming\System5908ConfigCollection.dat
2015-05-31 23:43 - 2015-05-31 23:43 - 0000000 ___SH () C:\ProgramData\.rdata
Hosts:
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

#5

Fixlog:

http://www.wklej.org/id/1781476/

 

FRST:

http://www.wklej.org/id/1781479/

#6

Skasuj folder C:\FRST

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK

#7

Jeszcze raz dziękuję za pomoc, a artykuły przeczytam :slight_smile: