qooqlle - kolejny lamus się w to wrobił :(

[broneq]

Witam!

Wczoraj ściągnąłem ... film z torrenta i razem z nim były kodeki, że wydawało mi się, że mam wszystko to ich nie instalowałem i startuję film a tam lipa, więc zainstalowałem i ... dziś rano mam qooqlle.com jako stronę startową i wszystkie opisywane tu już wiele razy problemy z ustawianiem w firefoxie itd

 

ALE

 

To nie wszystko. Pojawia się po starcie systemu także błąd aplikacji reader_sl.exe

 

ORAZ

 

sam otwiera się katalog "Moje dokumenty"

 

 

Zastosowałem się do poleceń z regulaminu i stworzyłem logi z GMER i OTL oraz (przed tworzeniem logów) usunąłem Demonowe napędy.

 

Bardzo uprzejmie i grzecznie proszę o pomoc jak dla tumanka, który dał się zrobić na szajs z pseudokodekowego pliku ((

 

Z góry dziękuję!

OTL.Txt

log_gmer.txt

Extras.Txt

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
[2011-04-01 17:20:05 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\6nnf3cfr.default\searchplugins\search.xml
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -  File not found
O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\user\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O4 - HKLM..\Run: [sunJavaUpdateSched]  File not found
O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe ()
O20 - HKU\S-1-5-21-746137067-1390067357-839522115-1003 Winlogon: Shell - (F:\dupler\kromirani.exe) -  File not found
O20 - HKU\S-1-5-21-746137067-1390067357-839522115-1003 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-5601548848-8656256054-861728064-8955\nissan.exe) -  File not found
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

[broneq]

Po pierwsze bardzo BARDZO dziękuję za tak szybką reakcję na mój problem.

Po drugie wykonałem polecony skrypt i po restarcie nadal pojawił się katalog "Moje Dokumenty" z otwartym drzewem eksploratora, żeby było ciekawiej

Po trzecie pojawił się też plik "04012011_...", który dołączam do niniejszego posta jako "plik_po_restarcie.txt".

Po czwarte dołączam nowy log z OTL (extras się nie utworzył, a nowy log nie zstąpił starego, tylko go zmodyfikował - czy tak jest dobrze???) i czekam na dalsze diagnozy

plik_po_restarcie.txt

OTL.Txt

[Landuss]

Infekcja usunięta. Wykonaj poniższe czynności:

 

1. Wklej do notatnika systemowego ten tekst:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_USERS\ S-1-5-21-746137067-1390067357-839522115-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik

 

To powinno naprawić uruchamianie moich dokumentów.

 

2. Użyj opcji Sprzątanie z OTL.

 

3. Wykonaj obowiązkowe aktualizacje oprogramowania (IE też nawet jeśli nie korzystasz):

 

Internet Explorer (Version = 6.0.2900.5512)

"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java 6 Update 18

Szczegóły aktualizacyjne w tym temacie: KLIK.

 

4. Wyzeruj stan przywracania systemu: KLIK

 

 

 

[broneq]

Infekcja faktycznie zniknęła - jeszcze raz bardzo dziękuję.

 

Natomiast nie mogę wykonać kroku 1 z ostatniej instrukcji.

Po zapisaniu tego pliku jako FIX.REG i odpaleniu go pojawia się komunikat:

"Czy na pewno dodać informację w C:\Documets and Settings\User\Pulpit\fix.reg do rejestru"

Klikam "TAK" i wyskakuje błąd:

"Nie można zaimportować C:\Documets and Settings\User\Pulpit\fix.reg: błąd przy dostępie do rejestru."

 

Dalszych kroków nie wykonałem.

 

Czekam na dalsze instrukcje

[Landuss]

To zamiennie wklej do OTLa ten tekst:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_USERS\ S-1-5-21-746137067-1390067357-839522115-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

 

Logów żadnych nie pokazujesz.

[broneq]

Wyszedł taki log:

 

========== REGISTRY ==========

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe" /E : value set successfully!

Unable to set value : HKEY_USERS\ S-1-5-21-746137067-1390067357-839522115-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe" /E!

 

OTL by OldTimer - Version 3.2.22.3 log created on 04012011_220724

 

i nadal otwiera się ten folder

[Landuss]

To może tak - Start >>> Uruchom >>> regsvr32 /i shell32

[broneq]

Po wykonaniu pojawił się komunikat:

"Funkcja DllRegisterServer and DllInstall w schell32 powiodła się"

 

Zaraz zrobię reste i sprawdzę i uzupełnię post czy pomogło.

 

Niestety nie pomogło. Nadal otwiera się okno moich dokumentów z drzewem folderów po lewej stronie.

 

Edycja (o 15:30 w sobotę). Do tego folderu Moje Dokumenty (ze ścieżki dostępu wynika, że jest on na pulpicie, podczas gdy mam wyłączone pokazywanie go na pulpicie) dołączył dymek o wyłączonych automatycznych aktualizacjach, które mam wyłączone od zawsze i nigdy się o nie nie rzucał...

[Landuss]

Wykonaj skan przez Malwarebytes Anti-Malware i wklej z niego raport oraz nowe logi z OTL.

[picasso]

Pomijając, że tu jest nieprawidłowa spacja w SID konta:

 

:Reg
[HKEY_USERS\ S-1-5-21-746137067-1390067357-839522115-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

 

.... przecież tego nie ma po co dodawać (i tak już jest właśnie ustawione). To jest HKCU (w OTL interpretowane przez SID użytkownika) a nie HKLM. Nie ma takiego wpisu na czystym systemie. To należy właśnie całkowicie usunąć, bo jest duplikat startu powłoki i zapewne dlatego pojawiają się przy starcie Moje dokumenty:

 

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\S-1-5-21-746137067-1390067357-839522115-1003 Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-

 

Klik w Wykonaj skrypt. Zresetuj system i podaj wyniki.

 

 

 

.

[broneq]

Pomijając, że tu jest nieprawidłowa spacja w SID konta: (...) przecież tego nie ma po co dodawać (i tak już jest właśnie ustawione). To jest HKCU (w OTL interpretowane przez SID użytkownika) a nie HKLM. Nie ma takiego wpisu na czystym systemie. To należy właśnie całkowicie usunąć, bo jest duplikat startu powłoki i zapewne dlatego pojawiają się przy starcie Moje dokumenty:

To co powyżej to dla mnie chińszczyzna

 

 

 

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: (...) Zresetuj system i podaj wyniki.

To wykonałem (DZIĘKUJĘ ) ale nie pomogło . Nadal wyskakuje otwarte okno "Moje Dokumenty" z otwartym po lewej drzewem folderów, z którego wynika, że owe "Moje Dokumenty" są na pulpicie.

Oraz nadal pojawia się "chmurka" o wyłączonych automatycznych aktualizacjach...

 

Wykonam też ten krok z poprzedniego posta z tym "Malwarebytes Anti-Malware" i opiszę efekt.

 

EDIT: Dołączam log i extras z OTL oraz plik z Malwarebytes

Extras.Txt

mbam-log-2011-04-03 (10-35-00).txt

OTL.Txt

[picasso]

To co powyżej to dla mnie chińszczyzna

 

Ta treść była kierowana do drugiego moderatora.

 

 

To wykonałem (DZIĘKUJĘ ) ale nie pomogło . Nadal wyskakuje otwarte okno "Moje Dokumenty" z otwartym po lewej drzewem folderów, z którego wynika, że owe "Moje Dokumenty" są na pulpicie.

 

Proszę mi pokazać nowy log z OTL.

 

 

Oraz nadal pojawia się "chmurka" o wyłączonych automatycznych aktualizacjach...

 

To sobie wyłącz powiadomienia w Centrum zabezpieczeń.

 

 

.

[broneq]

Logi uploadowałem w poprzednim poście przed chwileczką, a te powiadomienia o aktualizacjach wyłączyłem (głupia sprawa, kiedyś to już robiłem i jakoś zapomniałem - Dziękuję).

[picasso]

Zakładam, że log jest zrobiony z poziomu tego samego konta na którym występuje defekt (w przeciwnym wypadku log nie pokazuje ustawień właściwego konta i należy go zrobić będąc zalogowanym na tym drugim koncie). Tamten wpis zniknął i nie widzę tu żadnego innego pasującego do efektu. Zwykle efekt pochodzi z: modyfikowanej wartości Userinit, wielokrotnego powielenia odniesień do explorer.exe (np. nieprawidłowo w Autostarcie / podwójny zapis Shell) lub też z błędów w zamknięciach ścieżek. Nie widzę tu nic z tej kolekcji. Aczkolwiek OTL ma system filtrowania. Proszę wygeneruj nowy log, ale tym razem przestaw pozycję Rejestr z Użyj filtrowania na Wszystko i pokaż wynikowy log.

 

 

PS. Będziesz miał problem z usunięciem tego pliku:

 

File not found -- C:\Documents and Settings\user\Pulpit\Na_szczescie.pps

W związku z wadą nazwy jest "niewidzialny" dla systemu. Skorzystaj z tego tutoriala: KLIK (ustęp Nieprawidłowa nazwa pliku lub folderu i programy DeleteFXPFiles / Directory Fixer).

 

 

 

.

[broneq]

1. Na moim komputerze jest tylko jeden użytkownik (ten na którym jest problem i żadnych innych adminów czy coś - przynajmniej tak myślę, bo jak daję wyloguj i loguję się od nowa to mam tylko tego usera do wyboru i nic innego).

2. Jak wpisałem w Start->Uruchom "Userinit" to mi się właśnie ten katalog "Moje Dokumenty" otworzył tak jak przy starcie systemu z drzewem folderów po lewej i nie wiem czy to jest ważne czy nie.

3. Dołączam nowy log po przełączeniu pozycji Rejestr z Użyj filtrowania na Wszystko.

4. Zabieram się za rozgryzienie kwestii tego pliku pps (a jakie to w ogóle ma znaczenie? i jak doszło do tego, że on tam niby jest niby go nie ma?). EDIT 18:40: Usunięty za pomocą "FXP" Dziękuję

OTL.Txt

[Landuss]

To prawdopodobnie kwestia powielenia userinit:

 

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\WINDOWS\System32\userinit.exe (Microsoft Corporation)

 

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

 

Kliknij w Wykonaj skrypt. Zresetuj system i podaj wyniki.

 

 

[broneq]

Witam!

ZADZIAŁAŁO!!!

Jako wyjście pokazał się log:

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"C:\\WINDOWS\\system32\\userinit.exe," /E : value set successfully!

 

OTL by OldTimer - Version 3.2.22.3 log created on 04052011_150618

 

 

Bardzo Bardzo dziękuję! Nie mogłem wcześniej odpisać, bo poza weekendem nie mam zbyt dużo czasu "na komputer"... Jesteście niesamowici!

Pozdrawiam

[picasso]

W OTL wywołaj Sprzątanie. Przypominam o zaleconych aktualizacjach. Na koniec wyczyść foldery Przywracania systemu.

 

Temat jako rozwiązany zamykam.