Problem z qooqle - prosze o pomoc

[szczudel]

Witam serdecznie.

Czy zechciałby mi ktoś pomóc w pozbyciu sie problemu z qooqle. Mam Windows vista business 64b i uzywam opery [mam tez firefoxa ktorego uzywam sporadycznie jak i IE i we wszystkich to samo].

Na razie ściągnąłem OTL.exe ale nie wiem jak mam sciągnąć te logi które to inni załączają. Jakby ktoś byłby na tyle pomocny i pomógłby mi przejsć proces pozbycia sie tego badziewia.

Bardzo prosze o pomoc bo nie poradze sobie z tym sam i juz straszy mnie widmo formaowania komputer.

Będę bardzo wdzięczny za pomoc.

[Landuss]

Opis jak sporządzić logi z OTL masz na forum: KLIK

[szczudel]

Dzieki za link.

Wygenerowane raporty załączam.

Ustawiłem skan na 7 dni gdyż problem pojawił sie dzisiaj rano.

OTL.Txt

Extras.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-4076296467-343653988-2476937355-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/"
FF - prefs.js..browser.search.selectedEngine: "qooqlle"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/"
[2011-04-15 21:05:25 | 000,000,000 | ---D | M] (Sopcast Ask Toolbar) -- C:\Users\Pawel i Gosia\AppData\Roaming\mozilla\Firefox\Profiles\e82rg9dx.default\extensions\toolbar@ask.com
[2011-05-07 15:22:36 | 000,002,568 | ---- | M] () -- C:\Users\Pawel i Gosia\AppData\Roaming\Mozilla\Firefox\Profiles\e82rg9dx.default\searchplugins\askcom.xml
[2011-05-07 22:17:20 | 000,001,860 | ---- | M] () -- C:\Users\Pawel i Gosia\AppData\Roaming\Mozilla\Firefox\Profiles\e82rg9dx.default\searchplugins\search.xml
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe ()
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Odinstaluj pasek sponsoringowy Ask Toolbar

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

[szczudel]

Ask toolbara nie odinstalowałem gdyz nie wiem jak. W folderze w program files nie ma uninstalki, ani w menu start ani w "odinstaluj programy".

OTL.Txt

[picasso]

Mam dodatkowe pytanie, czy wiesz co to za plik:

 

========== Files/Folders - Created Within 7 Days ==========
 
[2010-08-01 14:46:56 | 000,086,864 | ---- | C] (Microsoft Corporation) -- C:\Users\Pawel i Gosia\AppData\Local\DelDEB9.exe

 

 

Mam Windows vista business 64b i uzywam opery [mam tez firefoxa ktorego uzywam sporadycznie jak i IE i we wszystkich to samo].

 

Skrypt OTL nie może konfigurować przeglądarki Opera. Po usunięciu procesu infekcji należy ręcznie zrekonfigurować przeglądarkę: KLIK

 

 

Ask toolbara nie odinstalowałem gdyz nie wiem jak. W folderze w program files nie ma uninstalki, ani w menu start ani w "odinstaluj programy".

 

W raporcie Extras wpis widnieje na liście zainstalowanych programów, w gałęzi 32-bitowej:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar

Start > w polu szukania wpisz regedit > z prawokliku wyeksportuj ten klucz do pokazania:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

Zobaczę czy tam nie ma wartości zapobiegającej wyświetlaniu tego na liście.

 

 

.

[szczudel]

Mam dodatkowe pytanie, czy wiesz co to za plik (...) DelDEB9.exe

 

Windows podpowiada mi że to "Visual Studio Delet Temp Utili". Mam Visuala zainstalowanego ale nie robiłem w nim nic od pół roku wiec nie wiem dlaczego wykryło go w wyszukiwaniu obejmującym 7 dni.

 

 

Start > w polu szukania wpisz regedit > z prawokliku wyeksportuj ten klucz do pokazania:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]

"AuthorizedCDFPrefix"=""

"Comments"=""

"Contact"=""

"DisplayVersion"="1.11.3.0"

"HelpLink"=hex(2):68,00,74,00,74,00,70,00,3a,00,2f,00,2f,00,61,00,62,00,6f,00,\

75,00,74,00,2e,00,61,00,73,00,6b,00,2e,00,63,00,6f,00,6d,00,2f,00,65,00,6e,\

00,2f,00,64,00,6f,00,63,00,73,00,2f,00,61,00,62,00,6f,00,75,00,74,00,2f,00,\

69,00,6e,00,64,00,65,00,78,00,2e,00,73,00,68,00,74,00,6d,00,6c,00,00,00

"HelpTelephone"=""

"InstallDate"="20110415"

"InstallLocation"=""

"InstallSource"="C:\\Users\\PAWELI~1\\AppData\\Local\\Temp\\{E6586635-D209-453B-BAC0-346F9D355346}\\"

"ModifyPath"=hex(2):4d,00,73,00,69,00,45,00,78,00,65,00,63,00,2e,00,65,00,78,\

00,65,00,20,00,2f,00,58,00,7b,00,38,00,36,00,44,00,34,00,42,00,38,00,32,00,\

41,00,2d,00,41,00,42,00,45,00,44,00,2d,00,34,00,34,00,32,00,41,00,2d,00,42,\

00,45,00,38,00,36,00,2d,00,39,00,36,00,33,00,35,00,37,00,42,00,37,00,30,00,\

46,00,34,00,46,00,45,00,7d,00,00,00

"NoModify"=dword:00000001

"NoRepair"=dword:00000001

"Publisher"="Ask.com"

"Readme"=""

"Size"=""

"EstimatedSize"=dword:00000a8f

"UninstallString"=hex(2):4d,00,73,00,69,00,45,00,78,00,65,00,63,00,2e,00,65,00,\

78,00,65,00,20,00,2f,00,58,00,7b,00,38,00,36,00,44,00,34,00,42,00,38,00,32,\

00,41,00,2d,00,41,00,42,00,45,00,44,00,2d,00,34,00,34,00,32,00,41,00,2d,00,\

42,00,45,00,38,00,36,00,2d,00,39,00,36,00,33,00,35,00,37,00,42,00,37,00,30,\

00,46,00,34,00,46,00,45,00,7d,00,00,00

"URLInfoAbout"=""

"URLUpdateInfo"=""

"VersionMajor"=dword:00000001

"VersionMinor"=dword:0000000b

"WindowsInstaller"=dword:00000001

"Version"=dword:010b0003

"Language"=dword:00000000

"DisplayName"="Ask Toolbar"

Załączam plik. Ale jedyne dane powiązanie z Uninstalerem jakie znalazłem sa w hexie, więc bez klucza to tego nie zdekoduje.

 

Czy z loga wynika, że już pozbyłem się tego problemu z qooqle?

[picasso]

Czy z loga wynika, że już pozbyłem się tego problemu z qooqle?

 

Chyba nie sądzisz, bym nie skomentowała takiej rzeczy?

 

 

Ale jedyne dane powiązanie z Uninstalerem jakie znalazłem sa w hexie, więc bez klucza to tego nie zdekoduje.

 

Byle który konwerter hexstring potrafi pokazać przynajmniej częściowo o co chodzi. Ponadto, i tak jest wiadome jaki jest mniej więcej ciąg deinstalacji. Ask Toolbar jest oparte na Instalatorze Windows i proces deinstalacji idzie przez polecenie msiexec.exe /I{GUID}, a {GUID} jest tu w logu Extras na tacy.

 

1. W kluczu tym spróbuj w wartościach NoModify + NoRepair zamienić 1 na 0 i sprawdź czy wpis Ask Toolbar się uwidoczni w aplecie usuwania programów.

 

2. Jeśli nie, z klawiatury wywołaj kombinację klawisz z flagą Windows + R i w polu Uruchom wklej ciąg MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

 

 

.

[szczudel]

Pozbyłem sie paska ask. Ale z tego co widze to był inny niż myślałem. [Początkowo zakładałem że to pasek który zainstalował się kilka miesięcy temu w IE, ale okazało się że to inny pasek zainstalowany niedawno z sopcastem - ten faktycznie był na liście po zmianach]. Wielkie dzięki.

 

A co do qooqle, to mnie zgubiłaś - boje się aż restartować kompa. Czyli wszystko jest już ok ?

[picasso]

Pozbyłem sie paska ask. Ale z tego co widze to był inny niż myślałem. [Początkowo zakładałem że to pasek który zainstalował się kilka miesięcy temu w IE, ale okazało się że to inny pasek zainstalowany niedawno z sopcastem - ten faktycznie był na liście po zmianach].

 

Po prostu Ask Toolbar brandowany, tak był nawet opisany w Firefox ("Sopcast Ask Toolbar"). Ale podaj mi nowy log z OTL, by były dane, czy nie pozostały jakieś resztki.

 

 

A co do qooqle, to mnie zgubiłaś - boje się aż restartować kompa. Czyli wszystko jest już ok ?

 

Usunęliśmy proces infekcji zapobiegający konfiguracji przeglądarek (Gproton) oraz wyczyściliśmy preferencje Firefox. Miałeś się zająć ręcznym przekonfigurowaniem Opery. I po restarcie systemu nie powinno być żadnego problemu.

 

 

 

.

[szczudel]

Nowy log w załączniku.

 

Wow. Niesamowite jest to jak szybko i sprawnie mi pomogliście. Wczoraj w nocy Landuss a dzisiaj ty picasso. Już czułem zbliżającą się formate systemu a dzisiaj wszystko działa - niesamowita ulga.

Dziekuję bardzo nie poradziłbym sobie bez was.

OTL.Txt

[picasso]

Jest w porządku. Wykonaj końcowe kroki:

 

1. Usuń z zapory autoryzacje reklam Sopcast:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{66E90FCB-6E5E-4596-B607-7944DB158787}C:\program files (x86)\sopcast\adv\sopadver.exe" = protocol=6 | dir=in | app=c:\program files (x86)\sopcast\adv\sopadver.exe | 
"TCP Query User{8FEEF5ED-1F60-460A-987D-5E7E0F283E00}C:\program files (x86)\sopcast\adv\sopadver.exe" = protocol=6 | dir=in | app=c:\program files (x86)\sopcast\adv\sopadver.exe | 
"UDP Query User{4EF53DA0-2F14-455F-B41B-FDBDF0FAE785}C:\program files (x86)\sopcast\adv\sopadver.exe" = protocol=17 | dir=in | app=c:\program files (x86)\sopcast\adv\sopadver.exe | 
"UDP Query User{D576500E-276F-4C95-9466-0323FFAA14EE}C:\program files (x86)\sopcast\adv\sopadver.exe" = protocol=17 | dir=in | app=c:\program files (x86)\sopcast\adv\sopadver.exe | 

W rejestrze wejdź w podany wyżej klucz i ze środka skasuj wszystkie wartości punktujące ścieżkę sopadver.exe.

 

2. W OTL wywołaj funkcję Sprzątanie, co ma za zadanie usunąć z dysku kwarantannę OTL i ten program.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE

 

4. Aktualizacje:

 

64bit-Windows Vista Business Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19019)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ========== 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java™ 6 Update 23
"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3.4
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Tlen.pl" = Tlen.pl

- Podstawowe aktualizacje: wszystkie przeglądarki, Java w wersji 32-bit i Adobe Reader. Tak, aktualizacja IE również, mimo że Opera jest główną przeglądarką. Na silniku IE bazują komponenty systemowe / aplikacje zewnętrzne i musi być zaktualizowany. Szczegóły aktualizacyjne: INSTRUKCJE.

- Opcjonalnie: nieznana wersja Tlen ale polecam poczytać temat Darmowe komunikatory i spojrzeć na opis WTW. Znacznie zgrabniejszy na system 64-bit (ma natywną kompilację x64).

 

 

Przestroga: Qooqlle weszło z jakimś "materiałem filmowym" pobranym systemem torrent, który wymagał rzekomo "kodeka", to instalacja kodeka to wprowadziła.

 

 

 

.

[szczudel]

Jeszcze raz wielkie dzieki.

Te całe qooqle pojawiło mi sie po próbie zainstalowania kodeka do Tangled pl dubbing z polskiego zrodla. Ostatni raz ściągałem cos z niepewnego źródla.

Jeszcze raz dzieki - donacja na forum juz poleciała

Wesołego weekendu.

Edytowane 8 Maja 2011 przez picasso
Wielki dzięki za donację! //picasso