pelen Opublikowano 18 Lutego 2011 Zgłoś Udostępnij Opublikowano 18 Lutego 2011 Witam. Jak wielu użytkowników również mam problem z qooqlle i zamulaniem netu. Instalowałem kodeki z netu i się zaczęło.. Poszukałem na tym forum jak rozwiązać problem dlatego też wg Waszych wskazówek załączam pliki Extras.txt oraz OTL.txt Bardzo proszę o pomoc ponieważ jestem zielony w tym temacie. Z góry bardzo serdecznie dziękuję Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Lutego 2011 Zgłoś Udostępnij Opublikowano 18 Lutego 2011 Jak pozostali Qooqlle-delikwenci, i Ty omijasz obowiązkowy tu log z GMER. Przechodząc do usuwania infekcji i innych niepożądanych obiektów: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O2 - BHO: (XBTP04910 Class) - {CACE4140-AB1A-4b15-B88F-8748A990DAA3} - File not found O3 - HKLM\..\Toolbar: (Congoo NetPass) - {645FCD0C-EADE-4B52-8CDB-EF33692A2E75} - File not found O3 - HKCU\..\Toolbar\WebBrowser: (Congoo NetPass) - {645FCD0C-EADE-4B52-8CDB-EF33692A2E75} - File not found O4 - HKLM..\Run: [e-Kiosk] File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [lsass] File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Administrator\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [sBDrvDet] File not found O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKLM..\Run: [zzz_ImInstaller_IncrediMail] File not found O4 - HKCU..\Run: [kamsoft] File not found O4 - HKCU..\Run: [Orb] File not found O4 - HKCU..\Run: [PcSync] File not found O9 - Extra Button: Congoo NetPass - {645FCD0C-EADE-4B52-8CDB-EF33692A2E75} - File not found O9 - Extra 'Tools' menuitem : Congoo NetPass - {645FCD0C-EADE-4B52-8CDB-EF33692A2E75} - File not found O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O20 - Winlogon\Notify\WgaLogon: DllName - WgaLogon.dll - File not found SRV - File not found [Auto | Running] -- -- (WUSB54GCSVC) SRV - File not found [Auto | Stopped] -- -- (Creative Service for CDROM Access) [2011-02-16 13:02:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\searchplugins :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\system\lsass.exe"=- :Commands [emptyflash] [emptytemp] Uruchom czyszczenie przez opcję Wykonaj skrypt. Powinien nastąpić samoistny restart, a na koniec zostanie podany log. 2. Przeglądarki Google Chrome (KLIK) i Opera (KLIK) muszą zostać przekonfigurowane ręcznie (zmiana stron startowych + wyszukiwarek). 3. Przejdź do Dodaj / Usuń programy i odinstaluj śmieci sponsoringowe: Conduit Engine + Vuze Remote Toolbar. Jest na liście także Congoo NetPass, a jednocześnie log wskazuje na jakieś częściowe usunięcie tego - też postaraj się to odmontować. 4. Wygeneruj nowe logi z OTL opcją Skanuj. Dołącz log powstały z usuwania w punkcie 1. . Odnośnik do komentarza
pelen Opublikowano 18 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2011 Wszystko wykonałem wg instrukcji. Pliku Congoo NetPass nie mogę usunąć.. W jaki sposób wygenerować GMER bo nie mam pojęcia Załączam: 1.log po skanowaniu 2. log po restarcie. . OTL.Txt Po restarcie.txt Odnośnik do komentarza
picasso Opublikowano 18 Lutego 2011 Zgłoś Udostępnij Opublikowano 18 Lutego 2011 W jaki sposób wygenerować GMER bo nie mam pojęcia Przyjrzyj się dokładnie na przyklejone w dziale Malware .... Wszystko zostało usunięte. 1. Drobna poprawka do OTL pod kątem nieusuwalnego wejścia Congoo NetPass. W oknie Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Congoo.CongooNetPass] Kliknij w Wykonaj skrypt. Nie będzie tym razem restartu. Jak przetworzy skrypt, wywołaj Sprzątanie. I skończyliśmy z OTL. 2. Wykonaj pełny skan via Malwarebytes' Anti-Malware i zgłoś się tu z wynikami. . Odnośnik do komentarza
pelen Opublikowano 18 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2011 W załącznikach: 1. pełny skan Malwarebytes 2. raport Malwarebytes po usunięciu zagrożeń 3. txt z aswMBR 4. skan GMER - komunikat:nie masz uprawnień by wgrywać ten rodzaj pliku... ale zamieszczam tutaj http://wklej.to/3MBsT mbam-log-2011-02-18 (18-07-33).txt mbam-log-2011-02-18 (18-53-59).txt aswMBR.txt Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2011 Zgłoś Udostępnij Opublikowano 19 Lutego 2011 Skan MBAM był zalecony nie bez przyczyny (w OTL odnotowane szczątki po innych trojanach), a jego wyniki potwierdzają, że jednak w systemie grzały miejsce elementy infekcji z USB. Jedyny wynik, który wygląda na nie budzący troski, to quickburn (skanerowi nie podoba się kompresja pliku). Wszystko usunąłeś, w dodatkowych skanach nie widzę nic podejrzanego, możemy przejść do końcowych kroków. 1. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 2. Zabezpiecz system przed wykonywaniem autorun.inf z nośników zewnętrznych. Skorzystaj z Panda USB Vaccine i opcji Computer Vaccination. 3. Nie widzę tu także żadnego stałego oprogramowania zabezpieczającego. Jeśli brak antywirusa jest dyktowany "oszczędzaniem zasobów", to może wypróbuj darmowy Panda Cloud Antivirus. Nie jest to AV w normalnym rozumieniu, tylko technologia w chmurze przenosząca zadania na stronę serwerową. Wymogiem działania AV jest czynne połączenie z siecią, aczkolwiek przy jego utracie jest włączany tymczasowy mechanizm offline. 4. Roboty aktualizacyjne: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23"{AC76BA86-7AD7-1033-7B44-A92000000001}" = Adobe Reader 9.2"Gadu-Gadu" = Gadu-Gadu 7.7 Ważne szczegóły aktualizacyjne rozpisane tutaj: INSTRUKCJE. Kaleka Gadu-Gadu 7.7 nie obsługuje długich numerów i innych cech najnowszego protokołu Gadu, ma niski poziom zabezpieczeń (brak szyfrowania) i inne "elementy". Proponuję zamienić chudą przyjemną non-reklamodawczą alternatywą z obsługą sieci Gadu. W temacie Darmowe komunikatory masz propozycje. Z mojej strony polecam: WTW lub Mirandę. komunikat:nie masz uprawnień by wgrywać ten rodzaj pliku... W Załącznikach nie można ładować innych formatów tekstowych niż TXT. Wystarczyło zmienić LOG na TXT. . Odnośnik do komentarza
pelen Opublikowano 19 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2011 1. Funkcja ta jest nieaktywna i nie mogę ani zaznaczyć ani odznaczyć... Co mam z tym zrobić? PS może to ważne, w oknie Stan zamiast wyłączone jak na zdjęciu, jest monitorowanie. Do tego użycie miejsca na dysku jest ustawione na max na 28615MB. Nie za dużo? 2. Panda USB Vaccine zainstalowana. 3. Panda Cloud Antivirus zainstalowana. 4. Internet Explorer 8 , Java 6 Update 24(JRE) , Adobe Reader X zainstalowane. Komunikator GG usunięty i zainstalowanyWTW. Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2011 Zgłoś Udostępnij Opublikowano 19 Lutego 2011 Funkcja ta jest nieaktywna i nie mogę ani zaznaczyć ani odznaczyć... Co mam z tym zrobić? Hmmm, w logu OTL Extras nie widać, by polisa blokująca konfigurację Przywracania była czynna (jest przyznane 0 a nie 1): [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]"DisableSR" = 0"DisableConfig" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]"DisableSR" = 0 Aczkolwiek .... usuńmy to pierwsze ustawienie. Start > Uruchom > regedit i skasuj cały klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore Po tym obowiązkowo restart dla zatwierdzenia zmian. I sprawdź czy nadal jest wyszarzone. PS może to ważne, w oknie Stan zamiast wyłączone jak na zdjęciu, jest monitorowanie. Do tego użycie miejsca na dysku jest ustawione na max na 28615MB. Nie za dużo? Stan "monitorowanie" oznacza, że Przywracanie systemu jest włączone. Na obrazku jest przedstawiona sytuacja już po przeprowadzeniu operacji. W kwestii zajętego miejsca na dysku, to zapewne masz domyślną konfigurację ustawianą instalatorem Windows, czyli rezerwowanie miejsca w stosunku do całej jego pojemności. Ale: po przeprowadzeniu operacji, którą zadaję, ustawienia Przywracania systemu zostaną zaadaptowane do nowych warunków proporcji miejsca na dysku, tzn. zacznie liczyć procenty w stosunku do pozostałego wolnego miejsca a nie całości. . Odnośnik do komentarza
pelen Opublikowano 19 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2011 Cały klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore usunięty. Komp zrestartowany i pomogło Teraz mogłem zaznaczyć: Wyłącz przywracanie systemu Co dalej? Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2011 Zgłoś Udostępnij Opublikowano 19 Lutego 2011 Teraz mogłem zaznaczyć: Wyłącz przywracanie systemuCo dalej? Teraz włącz ponownie Przywracanie, niech się utworzy pierwszy punkt przywracania z aktualnej sytuacji. I to wszystko. Z Twoich opowieści wynika, że reszta zadań jest wykonana. Odnośnik do komentarza
pelen Opublikowano 19 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2011 Dziękuję Ci bardzo serdecznie za Twoją nieocenioną pomoc Dziękuję za chęć pomocy, poświęcony czas i włożoną w to pracę. Dziękuję ślicznie Odnośnik do komentarza
Rekomendowane odpowiedzi