Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

qooqlle problem

jaca

Przez jaca
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

jaca

jaca

Opublikowano
Opublikowano

Prosze o pomoc , nie moge się pozbyć strony startowej qooqlle z przeglądarki IE

 

Results of screen317's Security Check version 0.99.7

Windows 7 (UAC is enabled)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Norton Internet Security

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 14

Java 2 Runtime Environment, SE v1.4.2_19

Out of date Java installed!

Adobe Flash Player 10.0.42.34

Adobe Reader 9.4.1 - Polish

Out of date Adobe Reader installed!

````````````````````````````````

Process Check:

objlist.exe by Laurent

Norton ccSvcHst.exe

``````````End of Log````````````

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O3 - HKU\S-1-5-21-585009460-1307208892-355831844-1001\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O4 - HKLM..\Run: [GProton] C:\ProgramData\gproton.exe ()
O4 - HKLM..\Run: [KMCONFIG] C:\Program Files (x86)\Mouse Driver\StartAutorun.exe KMConfig.exe File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Nic nie wykoanane. Powtórka z drobną zmianą. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-585009460-1307208892-355831844-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/"
O3 - HKU\S-1-5-21-585009460-1307208892-355831844-1001\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O4 - HKLM..\Run: [GProton] C:\ProgramData\gproton.exe ()
O4 - HKLM..\Run: [KMCONFIG] C:\Program Files (x86)\Mouse Driver\StartAutorun.exe KMConfig.exe File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Znowu po po wklejeniu tego skryptu pojawia się niebieski ekran i komputer się sam resetuje

 

Może problem w tym, iż skrypt przewiduje usuwanie wpisu "not found" od myszki:

 

O4 - HKLM..\Run: [KMCONFIG] C:\Program Files (x86)\Mouse Driver\StartAutorun.exe KMConfig.exe File not found

 

To wcale nie musi być "not found", prędzej jest to błąd odczytu OTL ze względu na formułę wpisu (są dwa wykonywalne w ciągu). Zresztą widać, że te rzekome braki pracują jako procesy:

 

========== Processes (SafeList) ==========
 
PRC - [2007-04-05 09:29:28 | 000,208,896 | ---- | M] (UASSOFT.COM) -- C:\Program Files (x86)\Mouse Driver\KMWDSrv.exe
PRC - [2007-04-04 10:30:40 | 000,327,680 | ---- | M] (UASSOFT.COM) -- C:\Program Files (x86)\Mouse Driver\KMProcess.exe
PRC - [2007-03-27 23:38:48 | 000,397,312 | ---- | M] (UASSOFT.COM) -- C:\Program Files (x86)\Mouse Driver\KMConfig.exe
PRC - [2007-03-06 13:51:14 | 000,212,992 | ---- | M] (UASSOFT.COM) -- C:\Program Files (x86)\Mouse Driver\StartAutorun.exe

 

W związku z tym zredukuj skrypt do postaci:

 

:OTL
IE - HKU\S-1-5-21-585009460-1307208892-355831844-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/"
O3 - HKU\S-1-5-21-585009460-1307208892-355831844-1001\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O4 - HKLM..\Run: [GProton] C:\ProgramData\gproton.exe ()
 
:Commands
[emptyflash]
[emptytemp]

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

To zmieńmy metodę.

 

1. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFile: 
C:\ProgramData\gproton.exe

Klik w Execute Now. Zatwierdź restart komputera.

 

 

2. Po restarcie systemu, gdy już pomyślnie zobaczysz Pulpit, otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00


 


[HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run]


"GProton"=-


 


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]


"Start Page"="http://www.google.com/"


 


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]


"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik wybierz opcję Importu i wskaż plik FIX.REG

 

 

3. Wytwórz nowe logi z OTL do oceny. Dołącz log powstały z usuwania BlitzBlank.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Sprawa przeprowadzona pomyślnie, infekcja została usunięta. Nie powinno już następować przekierowanie strony startowej Internet Explorer. Drobnostki na koniec:

 

1. Skasuj z dysku folder C:\_OTL.

 

2. Aktualizacja oprogramowania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java™ 6 Update 22 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java™ 6 Update 14
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.1 - Polish

  • Zaktualizuj Java (zarówno 64-bitową jak i 32-bitową wersję) oraz Adobe Reader: INSTRUKCJE.
  • Komentarz poboczy: widzę GG10, ciężki stwór. Może Cię zainteresuje komunikator WTW lub Miranda. Opisy w temacie Darmowe komunikatory.

3. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

4. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

Ostrzeżenie na przyszłość: Qooqlle wchodzi z paczką kodeków dowiązaną do programu przenoszonego via torrent. Musiało coś takiego tu nastąpić. Pilnuj się.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
tylko z czyszczeniem TFC - Temp Cleaner nie wychodzi , bo po nacisnięciu start pojawia się niebeski ekran.

 

Przypuszczałam, że będzie problem, ale bez dowodów nie byłam pewna. TFC działa dokładnie tak samo jak komenda [emptytemp] w skrypcie OTL (oba zaprojektował zresztą ten sam autor). Skrypt OTL powodował niebieski ekran i wygląda na to, że coś jest nie w porządku z zadaniem zabijania procesów. Może spróbuj wejść w Tryb awaryjny Windows i wtedy użyć TFC.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...