Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Problem ze stroną startową qooqlle

vankolo

Przez vankolo
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Brak obowiązkowego loga z rootkit detekcji GMER (a i działa w tle wiele sterowników emulacji wirtualnych napędów, uniemożliwiających stworzenie tego raportu). U Ciebie infekcja posługuje się inną podróbką niż u innych = podwójny proces symulujący iTunes oraz Adobe Reader:

 

[2011-01-14 16:21:11 | 008,180,224 | RHS- | M] () -- C:\Documents and Settings\All Users\TunesHelper.exe
[2011-01-14 16:21:11 | 000,311,296 | RHS- | M] (Created with WinAutomation ("http://www.WinAutomation.com")) -- C:\Documents and Settings\III\Application Data\Readar_sl.exe

 

Mam natomiast wątpliwości co to za pliki:

 

[2011-01-08 17:53:35 | 000,044,367 | ---- | M] () -- C:\Documents and Settings\III\My Documents\kalk.exe
[2011-01-08 17:52:46 | 000,000,000 | ---- | M] () -- C:\Documents and Settings\III\kalk.exe
 
[2005-09-26 22:34:11 | 000,000,618 | ---- | C] () -- C:\WINDOWS\System32\NETFLY48.SYS
[2005-09-09 22:38:55 | 000,000,618 | ---- | C] () -- C:\WINDOWS\System32\Ole7e1d124878r.dll

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe ()
O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\III\Application Data\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
IE - HKU\S-1-5-21-776561741-602162358-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/"
IE - HKU\S-1-5-21-776561741-602162358-725345543-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKU\S-1-5-21-776561741-602162358-725345543-1003\..\Toolbar\WebBrowser: (no name) - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - No CLSID value found.
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C}  (Reg Error: Value error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O20 - Winlogon\Notify\winrvc32: DllName - winrvc32.dll -  File not found
SRV - File not found [Auto | Stopped] --  -- (RichVideo) Cyberlink RichVideo Service(CRVS)
[2011-01-14 20:45:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\III\Local Settings\Application Data\searchplugins
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij proces przez Uruchom skrypt. Komputer będzie restartował, a po restarcie otrzymasz z tego log.

 

2. Opera musi być ręcznie skonfigurowana, gdyż OTL nie uwzględnia jej parametrów.

 

3. Wytwórz nowe logi z OTL opcją Skanuj. Dołącz log powstały z usuwania w punkcie 1.

 

 

 

.

Odnośnik do komentarza
vankolo

vankolo

Opublikowano
  • Autor
Opublikowano

Serdeczne dzięki za pomoc. Wykonałem wszystko zgodnie z instrukcją i problem zniknął.

 

Mam natomiast wątpliwości co to za pliki:

 

[2011-01-08 17:53:35 | 000,044,367 | ---- | M] () -- C:\Documents and Settings\III\My Documents\kalk.exe

[2011-01-08 17:52:46 | 000,000,000 | ---- | M] () -- C:\Documents and Settings\III\kalk.exe

 

[2005-09-26 22:34:11 | 000,000,618 | ---- | C] () -- C:\WINDOWS\System32\NETFLY48.SYS

[2005-09-09 22:38:55 | 000,000,618 | ---- | C] () -- C:\WINDOWS\System32\Ole7e1d124878r.dll

 

Odnośnie pliku kalk.exe to tylko alternatywny kalkulator więc nic groźnego.

Data utworzenia plików NETFLY28.SYS i Ole7e1d124878r.dll jest z 09.2005. Wtedy komputer został kupiony.

 

Nie załączyłem pliku Extras.txt ponieważ z niewyjaśnionych dla mnie przyczyn program go nie tworzy.

OTL.Txt

01152011_174328.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Nie załączyłem pliku Extras.txt ponieważ z niewyjaśnionych dla mnie przyczyn program go nie tworzy.

 

OTL uruchomiony więcej niż raz samoczynnie przestawia opcję "Rejestr - skan dodatkowy" na Brak. By Extras powstał ponownie, jest konieczne przestawienie tej opcji na Użyj filtrowania. W tym przypadku Extras nie jest mi potrzebny, ponieważ mój skrypt nie ingerował w sfery pokazywane w tym logu.

 

1. Jedna drobnostka nie zniknęła, czyli poszkodowana usługa Cyberlink:

 

SRV - File not found [Auto | Stopped] --  -- (RichVideo) Cyberlink RichVideo Service(CRVS)

Zapomniałam, że ten rodzaj usług w skrypcie OTL musi być "dostosowany", czyli obcięty fragment poza pierwszym nawiasem, by skrypt nie wariował. Usługę usuniesz w inny sposób:

 

Start > Uruchom > CMD i wpisz SC DELETE RichVideo

 

2. W OTL wywołaj funkcję Sprzątanie.

 

3. Zaktualizuj Java i Adobe Reader: INSTRUKCJE.

 

4. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...