Resin Opublikowano 14 Czerwca 2011 Zgłoś Udostępnij Opublikowano 14 Czerwca 2011 Witam. Mam problem za stroną startową Google Chrome, zamiast google.pl uruchamia mi się qooqle.com Oto moje logi: OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 14 Czerwca 2011 Zgłoś Udostępnij Opublikowano 14 Czerwca 2011 Zabrakło obowiązkowego tu loga z GMER, a system wcale nie przygotowany do jego uruchomienia (działający sterownik SPTD + przestarzałe sterowniki DAEMON Tools = KLIK): DRV - [2011-02-01 10:33:27 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\System32\Drivers\sptd.sys -- (sptd)DRV - [2004-08-22 17:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\windows\System32\Drivers\d347prt.sys -- (d347prt)DRV - [2004-08-22 17:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\windows\system32\DRIVERS\d347bus.sys -- (d347bus) Były tu instalowane "kodeki" = źródło infekcji, a Qooqlle jest w podwójnej wersji. Są i ślady podpinania zainfekowanego urządzenia USB. Ogólnie też system wykazuje cechy chaosu. 1. Wstępne usunięcie procesów Qooqlle i inne porządki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2011-05-23 08:19:48 | 000,347,136 | RHS- | M] (NirSoft) -- C:\Documents and Settings\All Users\nircmd.exe [2011-05-23 08:19:48 | 000,347,136 | ---- | M] (NirSoft) -- C:\Documents and Settings\Komp\Ustawienia lokalne\Dane aplikacji\nircmd.exe [2011-05-22 20:16:15 | 000,000,002 | ---- | C] () -- C:\Documents and Settings\All Users\timerxfile [2011-05-22 20:16:15 | 000,000,002 | ---- | C] () -- C:\Documents and Settings\All Users\datesavefile [2011-05-22 20:16:15 | 000,000,001 | ---- | C] () -- C:\Documents and Settings\All Users\varsavefile [2011-05-22 20:16:14 | 000,004,768 | ---- | C] () -- C:\Documents and Settings\All Users\operaprefs.ini [2011-05-18 15:26:21 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Komp\Ustawienia lokalne\Dane aplikacji\searchplugins [2011-05-18 05:46:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Komp\Menu Start\Programy\Theorica Divx ;-) Codecs [2011-06-13 23:59:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komp\Dane aplikacji\PriceGong O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Komp\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKU\S-1-5-21-117609710-1417001333-682003330-1003..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-117609710-1417001333-682003330-1003..\Run: [EA Core] File not found O4 - HKU\S-1-5-21-117609710-1417001333-682003330-1003..\Run: [iSUSPM] File not found O4 - HKU\S-1-5-21-117609710-1417001333-682003330-1003..\Run: [RGSC] File not found O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany, a po restarcie otrzymasz log z tego działania. 2. Przeglądarka Google Chrome nie może być konfigurowana skryptami OTL. Należy ręcznie przestawić stronę startową+ wyszukiwania: KLIK. 3. Przejdź do Dodaj / Usuń programy i odinstaluj śmieci / adware: Conduit Engine, uTorrentBar Toolbar, YouTube Downloader Toolbar, Winamp Toolbar. Odinstaluj także wszystkie kodeki, które ostatnio instalowałeś, a z którymi weszło Qooqlle. 4. Co tu się dzieje w układzie zabezpieczającym. Po pierwsze notuję zgrozę, połączenie AVG ze starym ESET (nie wolno łączyć dwóch AV z rezydentem w tym samym czasie). Po drugie, mimo że wpis AVG jest na liście deinstalacji oraz pełną parą działają wszystkie sterowniki programu, to równocześnie są tu subtelne ślady wybrakowania: SRV - File not found [Auto | Stopped] -- -- (avgwd)SRV - File not found [Auto | Stopped] -- -- (AVGIDSAgent)SRV - File not found [On_Demand | Stopped] -- -- (AVG Security Toolbar Service)IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not foundIE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not foundO2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not foundO2 - BHO: (AVG Security Toolbar BHO) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not foundO3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - File not foundO4 - HKLM..\Run: [AVG_TRAY] File not foundO18 - Protocol\Handler\avgsecuritytoolbar {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - File not foundO18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - File not found Należy naprostować niefortunny układ i pozbyć się obu programów. ESET i tak byłby do deinstalacji, jako stary program. Natomiast jeśli AVG był tu "deinstalowany", to skorzystaj z AVG Remover. 5. Polecam całkowitą deinstalację archaicznego knota DAEMON Tools, by zapobiec problemom wynikłym z obecności tak starego emulatora operującego na sterownikach sprzed 7 lat. 6. Po wykonaniu wszystkich powyższych kroków wygeneruj nowy log z OTL opcją Skanuj oraz AD-Remover w trybie skanowania. Dołącz log powstały z usuwania w punkcie 1. . Odnośnik do komentarza
Resin Opublikowano 16 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 16 Czerwca 2011 Zrobiłem to wszystko. Log: 06162011_153954.txt OTL.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 16 Czerwca 2011 Zgłoś Udostępnij Opublikowano 16 Czerwca 2011 (edytowane) Brakuje dwóch logów: Po wykonaniu wszystkich powyższych kroków wygeneruj nowy log z OTL opcją Skanuj oraz AD-Remover w trybie skanowania. Dołącz je w poście powyżej, a ja tu zedytuję własny post, stosownie do tego co ujrzę. EDIT: Materiały dostarczone, system prezentuje się znacznie lepiej, idziemy dalej: 1. Drobny skrypt do OTL. Uruchom narzędzie i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O18 - Protocol\Handler\avgsecuritytoolbar {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - File not found :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9090C685-0BB4-4D5C-BF69-FE2B82CC2A5D}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\dee07792-eb82-4fb0-928b-06df2e469bb1] :Files C:\Documents and Settings\Komp\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\12.0.742.100\Extensions\jmfkcklnlgedgbglfkkgedjfmejoahla C:\Documents and Settings\Komp\Dane aplikacji\AVG10 Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Uruchom AD-Remover w trybie usuwania, co skasuje wynalezione przez niego wpisy adware. 3. Wyprodukuj nowy log z Ad-Remover w trybie skanowania. . Edytowane 18 Czerwca 2011 przez picasso Odnośnik do komentarza
Resin Opublikowano 19 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 19 Czerwca 2011 Zrobione: 06192011_203618.txt Ad-Report-SCAN2.txt Ad-Report-CLEAN1.txt Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2011 Zgłoś Udostępnij Opublikowano 20 Czerwca 2011 (edytowane) 1. Jeszcze została drobnostka w Google Chrome po AVG: **** Google Chrome Version [12.0.742.100] **** Extension\jmfkcklnlgedgbglfkkgedjfmejoahla (D:\Chrome\safesearch.crx) (x) Zadałam czyszczenie tego w skrypcie, ale podana przeze mnie lokalizacja okazała się niewłaściwą. Wyszukaj na dysku ręcznie folder o nazwie jmfkcklnlgedgbglfkkgedjfmejoahla i przez SHIFT+DEL skasuj. 2. Posprzątaj po używanych narzędziach: W OTL uruchom Sprzątanie, co zlikwiduje kwarantannę programu oraz program OTL z dysku. Wymagane zatwierdzenie restartem. Odinstaluj AD-Remover. Jeśli po tym pozostanie na dysku folder C:\Program Files\Ad-Remover, dokasuj ręcznie. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Aktualizacja software: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 25"{3248F0A8-6813-11D6-A77B-00B0D0150070}" = J2SE Runtime Environment 5.0 Update 7"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java SE Runtime Environment 6"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7"{AC76BA86-7AD7-1045-7B44-AA0000000001}" = Adobe Reader X - Polish"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Adobe Shockwave Player" = Adobe Shockwave Player"Gadu-Gadu 10" = Gadu-Gadu 10 - Szczegóły aktualizacyjne w tym wątku: INSTRUKCJE. - Polecam też zamianę GG10 lżejszym programem. W temacie Darmowe komunikatory popatrz na opisy AQQ, Kadu, WTW i Miranda. Z mojej strony podpowiedź: WTW. 5. Dobór zabezpieczeń: stary ESET i AVG pożegnały ten system, należy coś tu wstawić w zamian. Może za darmo kombinacja: Avast + Online Armor Free. . Edytowane 19 Października 2011 przez picasso 25.07.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi