SafeFinder problemy z usunięciem

[McUchy]

Witajcie.
Mój pierwszy post i od razu prośba. Wiem,odrobię w polu.
Podobnie jak kilku użytkowników wcześniej mam problem z usunięciem SafeFinder i jego komponentów. Zrobiłem Skan FRST. Poniżej załączam pliki. Mój antywirus wrzucił do kwarantanny:
C:\ProgramData\Quotenamron\OverDonlam.exe
C:\ProgramData\Quotenamron\Tam-Dex.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

Pousuwałem z panelu sterowania niektóre progrmay powiązane. Próbowałem odpalić AdwCleanera i niestety wywala mi go w połowie pisząc o błędzie bazy. Co jeszcze powinienem zrobić? Z góry dziękuję za Wasze wsparcie!

 

Skan GMERem niestety wywaliło w trakcie, nie mogę dostarczyć z niego logu. W załączniku pliki z folderu pobrane.

 

EDIT: Przepraszam, zapomniałem o zaznaczeniu tej opcji w FRST. Już naprawiłem i umieszczam wszystkie 3 pliki

 

Pozdrawiam
Jarek

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

EDIT: Wszystkie logi dostarczone. Odpowiadasz mi już w nowym poście, nie edytuj pierwszego.

 

 

Problem stanowią wpisy "Quotenamron", rzekomo usuwane (są jak najbardziej aktywne) i "Logic Handler". Prócz tego więcej odpadków adware w systemie. Działania do przeprowadzenia:

 

1. Deinstalacje:

- Przez Panel sterowania usuń stare wersje: Adobe Flash Player 17 ActiveX, Adobe Flash Player 17 NPAPI, Adobe Reader XI, Adobe Shockwave Player 12.1, Java 8 Update 40 (64-bit), Java 8 Update 40.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 backlh; C:\ProgramData\Logic Handler\set.exe [2089472 2016-05-15] () [File not signed]
U2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [947712 2016-05-25] () [File not signed]
AppInit_DLLs: C:\ProgramData\Quotenamron\Vilait.dll => C:\ProgramData\Quotenamron\Vilait.dll [363008 2016-05-25] ()
AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Tam-Dex.dll => C:\ProgramData\Quotenamron\Tam-Dex.dll [257536 2016-05-25] ()
HKLM-x32\...\Run: [] => [X]
Task: {1DAAB754-00C8-4F91-94C4-48FCE8436D7D} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe
Task: {647A39F0-723A-4882-94BC-66D6DB76D689} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-02-13] (Lenovo)
Task: {7A33DF18-7BE3-4E44-A461-D2A18BC37B8E} - System32\Tasks\pljardaTreatiesButtressedV2 => Rundll32.exe MetatarsalSlows.dll,main 7 1 
Task: {C5C323D1-6895-4BD1-8414-1F73501E2516} - System32\Tasks\{12E43934-F32F-21E8-D449-11CCFD7A970F} => C:\Users\pljarda\AppData\Roaming\{12E43~1\Updater.exe
Task: C:\Windows\Tasks\{12E43934-F32F-21E8-D449-11CCFD7A970F}.job => C:\Users\pljarda\AppData\Roaming\{12E43~1\Updater.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
HKU\S-1-5-21-321930979-3402162066-1190322147-8181\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-321930979-3402162066-1190322147-8181 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-321930979-3402162066-1190322147-8181 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
DPF: HKLM-x32 {B94C2238-346E-4C5E-9B36-8CC627F35574}
DPF: HKLM-x32 {E06E2E99-0AA1-11D4-ABA6-0060082AA75C}
CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Logic Handler
C:\ProgramData\Quotenamron
C:\ProgramData\Quotenamrons
C:\Users\pljarda\AppData\Local\Exact.Update.OA.exe.log
C:\Users\pljarda\AppData\Local\TreatiesButtressed
C:\Users\pljarda\AppData\Roaming\*.*
C:\Users\pljarda\AppData\Roaming\Mozilla
C:\Windows\SysWOW64\findit.xml
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zresetuj Google Chrome (zamieszanie w preferencjach):

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko zwyjątkiem Google.

4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[McUchy]

Nie udało mi się usunąć jednego Adobe Reader IX ponieważ jest zablokowany przez Citrix. Poniżej pliki.

FRST.txt

Fixlog.txt

[picasso]

To komputer firmowy, prawda? Jeśli ta instalacja Adobe Reader jest zablokowana, wprawdzie mogłabym wymusić jej usunięcie, ale nie wiem czy to dobry pomysł na komputerze prekonfigurowanym administracyjnie, gdyż może istnieć konkretny powód wyboru takiej a nie innej wersji.

 

A jeśli rzecz o infekcji, to pomyślnie usunięta i problem powinien ustąpić. Drobne poprawki na wpisy szczątkowe. Otwórz Notatnik i wklej w nim:

 

BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_40\bin\ssv.dll => No File
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_40\bin\jp2ssv.dll => No File
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS
RemoveDirectory: C:\Users\pljarda\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap
RemoveDirectory: C:\Users\pljarda\AppData\LocalLow\Sun
RemoveDirectory: C:\Windows\System32\Tasks\Lenovo

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[McUchy]

Poniżej plik. Dodatkowo antywirus nadal wykrywa te dwa pliki, o których pisałem wcześniej, ale w folderze FRST. Tak komputer jest firmowy

Fixlog.txt

[picasso]

Właśnie w tym skrypcie FRST było planowane usuwanie kwarantanny FRST, ale z jakiegoś nieznanego mi powodu FRST nie mógł jej zlikwidować, dlatego też wystąpił wymuszony restart którego nie miało być... Być może antywirus zablokował akcję. Przejdź w Tryb awaryjny Windows i przez SHIFT+DEL (omija Kosz) spróbuj skasować folder C:\FRST z dysku.

[McUchy]

Plik usunięty w trybie awaryjnym. Antywirus milczy. Wygląda na to, że zostałem uratowany! Bardzo dziękuję

[picasso]

Na zakończenie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[McUchy]

Zrobione