Qooqlle

[mroowa]

Koledzy. Witam Serdecznie jestem nowy tutaj Pewnie w większości dopiero przy problemie ludzie się rejestrują

Również mam problem z qooqlle dziadowskim... Tylko ja mam jeszcze jeden problem :/ uruchamiając OTL wyskakuje mi komunikat... "Program OTL nie może być uruchomiony z folderu tymczasowego ! Ściagnij fo na pulpit lub do innego, wybranego folderu."

 

Próbowałem uruchamiać z pulpitu. Jest jakaś szansa dla mnie ? Czy format

Pozdrawiam i czekam na info, mam nadzieję że jeszcze nie świętujecie

[picasso]

Z "kolegami" to błąd założeń, ja jestem "koleżanką".

 

 

Tylko ja mam jeszcze jeden problem :/ uruchamiając OTL wyskakuje mi komunikat... "Program OTL nie może być uruchomiony z folderu tymczasowego ! Ściagnij fo na pulpit lub do innego, wybranego folderu."

 

Pokaż skąd pobierasz ów OTL, czy to na pewno są linki z przyklejonego tematu (a nie z innych serwisów): KLIK. Oraz jaką przeglądarką i gdzie zapisujesz plik.

 

 

Czy format

 

Bez jaj. Qooqlle to prymityw. Tu chodzą takie infekcje, że Qooqlle można uznać wręcz za maskotkę systemu....

 

 

.

[mroowa]

Przepraszam koleżankę

 

Udało mi się już uruchomić OTL, jednak nie mógł być na pulpicie, i załączam to co się zrobiło

p.s.

przepraszam za zamieszanie na początku

 

A teraz...

liczę na pomoc

Dziękuję

OTL.Txt

Extras.Txt

[picasso]

Tu nie tylko infekcja Qooqlle jest, także ślady po podpinaniu zarażonego urządzenia USB:

 

O33 - MountPoints2\{6987d59b-cadb-11df-93f6-00234e2ecded}\Shell\AutoRun\command - "" = D:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
O33 - MountPoints2\{6987d59b-cadb-11df-93f6-00234e2ecded}\Shell\open\command - "" = D:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
O33 - MountPoints2\{6987d59c-cadb-11df-93f6-00234e2ecded}\Shell\AutoRun\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
O33 - MountPoints2\{6987d59c-cadb-11df-93f6-00234e2ecded}\Shell\open\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
O33 - MountPoints2\{de6b58a1-1c69-11df-9303-00f1d000f1d0}\Shell\AutoRun\command - "" = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
O33 - MountPoints2\{de6b58a1-1c69-11df-9303-00f1d000f1d0}\Shell\open\command - "" = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\RECYCLER
C:\Documents and Settings\All Users\TunesHelper.exe
C:\Documents and Settings\TEMP\Dane aplikacji\Readar_sl.exe
C:\Documents and Settings\TEMP\Dane aplikacji\Mozilla\Firefox\Profiles\f1t3oomk.default\searchplugins\search.xml
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Readar_sl"=-
"TunesHelper"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
"AdobeBridge"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"c:\program files\relevantknowledge\rlvknlg.exe"=-
 
:OTL
FF - prefs.js..browser.search.selectedEngine: "qooqlle"
FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/"
O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab" (Reg Error: Key error.)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.)
SRV - File not found [Auto | Stopped] --  -- (GtFlashSwitch)
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz z tego log.

 

2. Za pomocą OTL nie można przekonfigurować przeglądarek Google Chrome i Opera, do wykonania ręcznie: KLIK / KLIK.

 

3. Po wykonaniu punktów 1+2 tworzysz nowy log z OTL, ale na dostosowanym warunku. W polu Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components /s

Klik w Skanuj (a nie Wykonaj skrypt!). Przedstawiasz: ów log oraz log powstały z usuwania w punkcie 1.

 

4. Pytanie spoza: widzę, że Twoje konto użytkownika mroowa startuje z folderu o nazwie "TEMP" (C:\Documents and Settings\TEMP), a równocześnie jest także na dysku folder mroowa (C:\Documents and Settings\mroowa). To nie wygląda prawidłowo. Czy przypadkiem tu nie ma problemu z logowaniem przez profil tymczasowy? Przedstaw mi zrzut ekranu z folderu C:\Documents and Settings oraz log z sid.vbs (punkt 3): KLIK.

 

 

 

 

.

[mroowa]

To jest od czasu jak mi system padł i instalowałem na nowo Win XP, ale nie usuwałem poprzedniego systemu, żeby nie utracić danych

[mroowa]

Pliku .log nie mogę załączyć

 

All processes killed

========== FILES ==========

C:\RECYCLER\S-1-5-21-1947659689-3443379188-98448034-1006 folder moved successfully.

C:\RECYCLER folder moved successfully.

C:\Documents and Settings\All Users\TunesHelper.exe moved successfully.

C:\Documents and Settings\TEMP\Dane aplikacji\Readar_sl.exe moved successfully.

C:\Documents and Settings\TEMP\Dane aplikacji\Mozilla\Firefox\Profiles\f1t3oomk.default\searchplugins\search.xml moved successfully.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Readar_sl deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\TunesHelper deleted successfully.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge deleted successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DBC80044-A445-435b-BC74-9C25C1C588A9}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ not found.

Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\c:\program files\relevantknowledge\rlvknlg.exe deleted successfully.

========== OTL ==========

Prefs.js: "qooqlle" removed from browser.search.selectedEngine

Prefs.js: "http://www.qooqlle.com/" removed from browser.startup.homepage

Starting removal of ActiveX control {41564D57-9980-0010-8000-00AA00389B71}

C:\WINDOWS\Downloaded Program Files\wmvadvd.inf moved successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{41564D57-9980-0010-8000-00AA00389B71}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{41564D57-9980-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{41564D57-9980-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{41564D57-9980-0010-8000-00AA00389B71}\ not found.

Starting removal of ActiveX control {68282C51-9459-467B-95BF-3C0E89627E55}

C:\WINDOWS\Downloaded Program Files\SkanerOnline.inf moved successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{68282C51-9459-467B-95BF-3C0E89627E55}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{68282C51-9459-467B-95BF-3C0E89627E55}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{68282C51-9459-467B-95BF-3C0E89627E55}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{68282C51-9459-467B-95BF-3C0E89627E55}\ not found.

Service GtFlashSwitch stopped successfully!

Service GtFlashSwitch deleted successfully!

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: Administrator

->Flash cache emptied: 42016 bytes

 

User: All Users

 

User: Default User

->Flash cache emptied: 56898 bytes

 

User: Gość

->Flash cache emptied: 42016 bytes

 

User: LocalService

 

User: mroowa

->Flash cache emptied: 1974494 bytes

 

User: NetworkService

 

User: rally

->Flash cache emptied: 42016 bytes

 

User: TEMP

->Flash cache emptied: 62435 bytes

 

Total Flash Files Cleaned = 2,00 mb

 

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 262144 bytes

->Flash cache emptied: 0 bytes

 

User: Gość

->Temp folder emptied: 903865 bytes

->Flash cache emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 65748 bytes

 

User: mroowa

->Temp folder emptied: 1539807 bytes

->Java cache emptied: 10356364 bytes

->FireFox cache emptied: 86227211 bytes

->Flash cache emptied: 0 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

 

User: rally

->Temp folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: TEMP

->Temp folder emptied: 17601902047 bytes

->Java cache emptied: 341796 bytes

->FireFox cache emptied: 55588264 bytes

->Google Chrome cache emptied: 60244100 bytes

->Opera cache emptied: 15999468 bytes

->Flash cache emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 4370980 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 1080771 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 17 012,00 mb

 

 

OTL by OldTimer - Version 3.2.22.3 log created on 04222011_000445

 

Files\Folders moved on Reboot...

File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.

C:\WINDOWS\temp\Perflib_Perfdata_504.dat moved successfully.

 

Registry entries deleted on Reboot...

OTL.Txt

[picasso]

Qooqlle pomyślnie usunięte, na dokładkę ogłuszające wyniki z czyszczenia lokalizacji tymczasowych, ~17GB plików zostało przeczyszczone:

 

Total Files Cleaned = 17 012,00 mb

Statystyki dysku przed czyszczeniem i po:

 

Drive C: | 142,22 Gb Total Space | 34,67 Gb Free Space | 24,38% Space Free | Partition Type: NTFS

vs.

 

Drive C: | 142,22 Gb Total Space | 55,00 Gb Free Space | 38,68% Space Free | Partition Type: NTFS

 

Sprawa infekcji ukończona. Wykonaj końcowe kroki:

 

1. W OTL wywołaj funkcję Sprzątanie. To usunie kwarantannę z Qooqlle oraz sam program OTL.

 

2. Software:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"Ad-Aware" = Ad-Aware
"avast!" = avast! Antivirus
"avast5" = avast! Free Antivirus
"ie7" = Windows Internet Explorer 7
"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 5.0.0
"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)
"Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4)

• Avast i Adware są tu w przestarzałych wersjach, a ich wspólna obecność to męczenie komputera. Oba do deinstalacji. W zamian zaopatrz się w najnowszą wersję Avast 6, wyglądającą inaczej i za darmo więcej funkcji.
  
• Aktualizacja aplikacji internetowych i Java: INSTRUKCJE. Instalacja IE8 obowiązkowa, niezależnie od tego, że używasz innych przeglądarek. To silnik zintegrowany z systemem, wykorzystywany bez Twojej interwencji przez system / aplikacje trzecie, toteż musi być zabezpieczony.
  
• (Opcjonalnie) unowocześnienie kodeków K-Lite.
  

3. Po przeprowadzeniu wyżej wymienionych modyfikacji wyczyść:

 

• Foldery Przywracania systemu: INSTRUKCJE.
  
• Ponownie pliki tymczasowe (procesy deinstalacji / instalacji znów wzbogacą te miejsca): TFC - Temp Cleaner.
  

 

To jest od czasu jak mi system padł i instalowałem na nowo Win XP, ale nie usuwałem poprzedniego systemu, żeby nie utracić danych

 

Czyli rozumiem, że folder C:\Documents and Settings\TEMP jest właściwym, bo z tego folderu loguje się Twoje konto i to ten folder ma oznaczenie modyfikacji z 2011. W takiej sytuacji folder C:\Documents and Settings\mroowa jest bezużyteczny, konto w ogóle z niego nie korzysta, i można go skasować. Prawdopodobnie kasacja folderu zwróci błąd "Odmowa dostępu" i trzeba będzie go przejąć na własność + nadać sobie pełną kontrolę: KLIK.

 

 

Pliku .log nie mogę załączyć

 

Tak, gdyż w Załącznikach można dostarczać tylko *.TXT (i niektóre formaty graficzne).

 

 

 

.

[mroowa]

Dziękuję jak niewiem co Naprawdę było wszystko pomocne, jeszcze tylko aktualizacja i cieszyć się życiem

Dziękóweczka!!