SafeFinder (linkury), problem z pozbyciem się


(Borowina) #1

Witam serdecznie.

Zwracam się do Waszego grona z prośbą o pomoc w usunięciu tytułowego problemu - w panelu sterowania nie mogę go odinstalować, cleaner nie pomógł i problem wraca zaraz po zresetowaniu laptopa. W przeglądarkach wirus zmienia mi wyszukiwarkę na yahoo i spowalnia pracę Chrome, staje się coraz bardziej uciążliwy. Podczas pracy FRST McAfee znalazł mi 3 trojany, których wcześniej nie wykrył. 

Bardzo bym prosiła o wytłumaczenie co robić dalej krok po kroku, jak głupiemu, łopatologicznie... ponieważ poruszam się w sferze informatyki wyjątkowo niezgrabnie, czytałam kilka postów ludzi, którzy mieli identyczny problem, ale niezbyt zrozumiałe były dołączone instrukcje, boję się sama grzebać w tym, dlatego wolę indywidualnie zwrócić się o pomoc. 

Pozdrawiam, Borowina.

Dołączam wklejki z FRST oraz załączniki, w tym z adwcleaner coś. 

skan FRST: http://www.wklej.org/hash/b7c4b0455e7/

skan Addition: http://www.wklej.org/id/2168815/

skan Shortcut: http://www.wklej.org/id/2168818/

 

Addition.txt

AdwCleaner[C1].txt

FRST.txt

Shortcut.txt


(Atis) #2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

AppInit_DLLs: C:\ProgramData\Graveair\Iceeco.dll = C:\ProgramData\Graveair\Iceeco.dll [363520 2016-03-26] ()
AppInit_DLLs-x32: C:\ProgramData\Graveair\Biotamflex.dll = C:\ProgramData\Graveair\Biotamflex.dll [257536 2016-03-26] ()
HKU\S-1-5-21-1652264312-86902767-318621968-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqxsKj1QZ3kjunvE33RurpULUo9ziB7zmsCwQjF7TRdKhssqokMGjt0YJkiRyIDL_9qqr81Fu0vS-bmv_fUGSA3cBmYDJ3Xu3cgGlbIjVw5-amyFIxbGdUM_m7zKXdpJeWgE2qkB9igdilrGhndNBD4o3wgJx0,q={searchTerms}
HKU\S-1-5-21-1652264312-86902767-318621968-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqxsKj1QZ3kjunvE33RurpULUo9ziB7zmsCwQjF7TRdKhssqokMGjt0YJkiRyIDL_9qqr81Fu0vS-bmv_fUGSA3cBmYDJ3Xu3cgGlbIjVw5-amyFIxbGdUM_m7zKXdpJeWgE2qkB9igdilrGhndNBD4o3wgJx0,q={searchTerms}
HKU\S-1-5-21-1652264312-86902767-318621968-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqxsKj1QZ3kjunvE33RurpULUo9ziB7zmsCwQjF7TRdKhssqokMGjt0YJkiRyIDL_9qqr81Fu0vS-bmv_fUGSA3cBmYDJ3Xu3cgGlbIjVw5-amyFIxbGdUM_m7zKXdpJeWgE2qkB9igdilrGhndNBD4o3wgJx0,q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {ielnksrch} URL =
CHR HomePage: Default - hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqxsKj1QZ3kjunvE33RurpULUo9ziB7zmsCwQjF7TRdKhssqokMGjt0YJkiRyIDL_9qqqQy0bRqJ7jsQ24UB4wfQ4kuCKXXHFc_aRc-sXKoecyb7ks5KWJtK5AJ9rPajPfbjzyVrHl1VZ7fZ1llB8jPpMSYyu0,
CHR DefaultSearchURL: Default - hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqxsKj1QZ3kjunvE33RurpULUo9ziB7zmsCwQjF7TRdKhssqokMGjt0YJkiRyIDL_9qqqgztnzBPnoaNN_y1xmMzJjaGrtQJ2wjuwn-InR7oloVNgahNVlLtRh2EnI-bSC5pnKkNhe2SYQQnwm5y6jE9ej0-lI,q={searchTerms}
CHR DefaultSearchKeyword: Default - feed.sonic-search.com
CHR DefaultSuggestURL: Default - hxxps://search.yahoo.com/sugg/chrome?output=fxjsonappid=crmascommand={searchTerms}
S2 Graveair; C:\ProgramData\\Graveair\\Graveair.exe shuz -f "C:\ProgramData\\Graveair\\Graveair.dat" -l -a
2016-03-26 17:45 - 2016-03-26 17:51 - 00000000 ____ D C:\AdwCleaner
2016-03-26 01:53 - 2016-03-26 01:53 - 00000000 ____ D C:\Users\Iza\AppData\Roaming\dlg
2016-03-26 01:32 - 2016-03-26 10:42 - 00000000 ____ D C:\ProgramData\Graveair
2016-03-26 01:32 - 2016-03-26 01:32 - 00000000 ____ D C:\ProgramData\Graveairs
2016-03-26 20:48 - 2015-06-12 16:06 - 00000165 _____ C:\Users\Iza\AppData\Roaming\sp_data.sys
2016-03-26 01:32 - 2016-03-26 01:32 - 6493696 _____ () C:\Users\Iza\AppData\Roaming\agent.dat
2016-03-26 01:32 - 2016-03-26 01:32 - 0054272 _____ () C:\Users\Iza\AppData\Roaming\ApplicationHosting.dat
2016-03-26 01:32 - 2016-03-26 01:32 - 0065424 _____ () C:\Users\Iza\AppData\Roaming\Config.xml
2016-03-26 01:32 - 2016-03-26 01:32 - 0072711 _____ () C:\Users\Iza\AppData\Roaming\Dontouch.tst
2016-03-26 01:31 - 2016-03-26 01:31 - 0268397 _____ () C:\Users\Iza\AppData\Roaming\inst.lat
2016-03-26 01:31 - 2016-03-26 01:31 - 0015888 _____ () C:\Users\Iza\AppData\Roaming\InstallationConfiguration.xml
2016-03-26 01:31 - 2016-03-26 01:31 - 0127488 _____ () C:\Users\Iza\AppData\Roaming\Installer.dat
2016-03-26 01:32 - 2016-03-26 01:32 - 0126464 _____ () C:\Users\Iza\AppData\Roaming\lobby.dat
2016-03-26 01:32 - 2016-03-26 01:32 - 0018432 _____ () C:\Users\Iza\AppData\Roaming\Main.dat
2016-03-26 01:32 - 2016-03-26 01:32 - 1621509 _____ () C:\Users\Iza\AppData\Roaming\Matkix.tst
2016-03-26 01:32 - 2016-03-26 01:32 - 0005568 _____ () C:\Users\Iza\AppData\Roaming\md.xml
2016-03-26 01:32 - 2016-03-26 01:32 - 0126464 _____ () C:\Users\Iza\AppData\Roaming\noah.dat
2015-06-12 16:06 - 2016-03-26 20:48 - 0000165 _____ () C:\Users\Iza\AppData\Roaming\sp_data.sys
2016-03-26 01:32 - 2016-03-26 01:32 - 0848437 _____ () C:\Users\Iza\AppData\Roaming\TonLight.bin
2016-03-26 01:32 - 2016-03-26 01:32 - 0032038 _____ () C:\Users\Iza\AppData\Roaming\uninstall_temp.ico
C:\Users\Iza\AppData\Roaming\*.exe
ShortcutWithArgument: C:\Users\Iza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk - C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) - %SNP%
ShortcutWithArgument: C:\Users\Iza\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk - C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) - %SNP%
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.


(Borowina) #3

Witam,

dołączam w załączniku raport FRST oraz Fixlog.

Czy to, że w czasie naprawiania antywirus chodził i poddawał pliki kwarantannie mogłoby mieć wpływ na przebieg procesu? WIrus nadal widnieje w panelu sterowania i nie wiem czy mogę go już usunąć stamtąd (“wystąpił błąd podczas deinstalacji systemu(…) czy usunąć z listy?”.

W późniejszym czasie napiszę też, czy problem zniknął i przeglądarka nie szaleje. 

Pozdrawiam serdecznie i dziękuję za zainteresowanie, Borowina.

 

Fixlog.txt

FRST.txt


(Borowina) #4

Wszystko działa, bardzo dziękuję za pomoc!


(Atis) #5

Usuń ten program z listy.