Skocz do zawartości

Problem z qooqlle.com


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zabrakło obowiązkowego tu loga z GMER, a system wcale nie przygotowany do jego uruchomienia (działający sterownik SPTD + przestarzałe sterowniki DAEMON Tools = KLIK):

 

DRV - [2011-02-01 10:33:27 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\System32\Drivers\sptd.sys -- (sptd)

DRV - [2004-08-22 17:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\windows\System32\Drivers\d347prt.sys -- (d347prt)

DRV - [2004-08-22 17:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\windows\system32\DRIVERS\d347bus.sys -- (d347bus)

 


Były tu instalowane "kodeki" = źródło infekcji, a Qooqlle jest w podwójnej wersji. Są i ślady podpinania zainfekowanego urządzenia USB. Ogólnie też system wykazuje cechy chaosu.

 

1. Wstępne usunięcie procesów Qooqlle i inne porządki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2011-05-23 08:19:48 | 000,347,136 | RHS- | M] (NirSoft) -- C:\Documents and Settings\All Users\nircmd.exe
[2011-05-23 08:19:48 | 000,347,136 | ---- | M] (NirSoft) -- C:\Documents and Settings\Komp\Ustawienia lokalne\Dane aplikacji\nircmd.exe
[2011-05-22 20:16:15 | 000,000,002 | ---- | C] () -- C:\Documents and Settings\All Users\timerxfile
[2011-05-22 20:16:15 | 000,000,002 | ---- | C] () -- C:\Documents and Settings\All Users\datesavefile
[2011-05-22 20:16:15 | 000,000,001 | ---- | C] () -- C:\Documents and Settings\All Users\varsavefile
[2011-05-22 20:16:14 | 000,004,768 | ---- | C] () -- C:\Documents and Settings\All Users\operaprefs.ini
[2011-05-18 15:26:21 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Komp\Ustawienia lokalne\Dane aplikacji\searchplugins
[2011-05-18 05:46:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Komp\Menu Start\Programy\Theorica Divx ;-) Codecs
[2011-06-13 23:59:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Komp\Dane aplikacji\PriceGong
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Komp\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe ()
O4 - HKU\S-1-5-21-117609710-1417001333-682003330-1003..\Run: [AdobeBridge]  File not found
O4 - HKU\S-1-5-21-117609710-1417001333-682003330-1003..\Run: [EA Core]  File not found
O4 - HKU\S-1-5-21-117609710-1417001333-682003330-1003..\Run: [iSUSPM]  File not found
O4 - HKU\S-1-5-21-117609710-1417001333-682003330-1003..\Run: [RGSC]  File not found
O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany, a po restarcie otrzymasz log z tego działania.

 

2. Przeglądarka Google Chrome nie może być konfigurowana skryptami OTL. Należy ręcznie przestawić stronę startową+ wyszukiwania: KLIK.

 

3. Przejdź do Dodaj / Usuń programy i odinstaluj śmieci / adware: Conduit Engine, uTorrentBar Toolbar, YouTube Downloader Toolbar, Winamp Toolbar. Odinstaluj także wszystkie kodeki, które ostatnio instalowałeś, a z którymi weszło Qooqlle.

 

4. Co tu się dzieje w układzie zabezpieczającym. Po pierwsze notuję zgrozę, połączenie AVG ze starym ESET (nie wolno łączyć dwóch AV z rezydentem w tym samym czasie). Po drugie, mimo że wpis AVG jest na liście deinstalacji oraz pełną parą działają wszystkie sterowniki programu, to równocześnie są tu subtelne ślady wybrakowania:

 

SRV - File not found [Auto | Stopped] --  -- (avgwd)

SRV - File not found [Auto | Stopped] -- -- (AVGIDSAgent)

SRV - File not found [On_Demand | Stopped] -- -- (AVG Security Toolbar Service)

IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not found

IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not found

O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found

O2 - BHO: (AVG Security Toolbar BHO) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not found

O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - File not found

O4 - HKLM..\Run: [AVG_TRAY] File not found

O18 - Protocol\Handler\avgsecuritytoolbar {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - File not found

O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - File not found

Należy naprostować niefortunny układ i pozbyć się obu programów. ESET i tak byłby do deinstalacji, jako stary program. Natomiast jeśli AVG był tu "deinstalowany", to skorzystaj z AVG Remover.

 

5. Polecam całkowitą deinstalację archaicznego knota DAEMON Tools, by zapobiec problemom wynikłym z obecności tak starego emulatora operującego na sterownikach sprzed 7 lat.

 

6. Po wykonaniu wszystkich powyższych kroków wygeneruj nowy log z OTL opcją Skanuj oraz AD-Remover w trybie skanowania. Dołącz log powstały z usuwania w punkcie 1.

 

 

 

.

Odnośnik do komentarza

Brakuje dwóch logów:

 

Po wykonaniu wszystkich powyższych kroków wygeneruj nowy log z OTL opcją Skanuj oraz AD-Remover w trybie skanowania.

 

Dołącz je w poście powyżej, a ja tu zedytuję własny post, stosownie do tego co ujrzę.

 

 

EDIT:

 

Materiały dostarczone, system prezentuje się znacznie lepiej, idziemy dalej:

 

1. Drobny skrypt do OTL. Uruchom narzędzie i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O18 - Protocol\Handler\avgsecuritytoolbar {F2DDE6B2-9684-4A55-86D4-E255E237B77C} -  File not found
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9090C685-0BB4-4D5C-BF69-FE2B82CC2A5D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\dee07792-eb82-4fb0-928b-06df2e469bb1]
 
:Files
C:\Documents and Settings\Komp\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\12.0.742.100\Extensions\jmfkcklnlgedgbglfkkgedjfmejoahla
C:\Documents and Settings\Komp\Dane aplikacji\AVG10

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Uruchom AD-Remover w trybie usuwania, co skasuje wynalezione przez niego wpisy adware.

 

3. Wyprodukuj nowy log z Ad-Remover w trybie skanowania.

 

 

 

.

Edytowane przez picasso
Odnośnik do komentarza

1. Jeszcze została drobnostka w Google Chrome po AVG:

 

**** Google Chrome Version [12.0.742.100] ****

 

Extension\jmfkcklnlgedgbglfkkgedjfmejoahla (D:\Chrome\safesearch.crx) (x)

Zadałam czyszczenie tego w skrypcie, ale podana przeze mnie lokalizacja okazała się niewłaściwą. Wyszukaj na dysku ręcznie folder o nazwie jmfkcklnlgedgbglfkkgedjfmejoahla i przez SHIFT+DEL skasuj.

 

2. Posprzątaj po używanych narzędziach:

 

  • W OTL uruchom Sprzątanie, co zlikwiduje kwarantannę programu oraz program OTL z dysku. Wymagane zatwierdzenie restartem.
  • Odinstaluj AD-Remover. Jeśli po tym pozostanie na dysku folder C:\Program Files\Ad-Remover, dokasuj ręcznie.

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Aktualizacja software:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 25

"{3248F0A8-6813-11D6-A77B-00B0D0150070}" = J2SE Runtime Environment 5.0 Update 7

"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java™ SE Runtime Environment 6

"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7

"{AC76BA86-7AD7-1045-7B44-AA0000000001}" = Adobe Reader X - Polish

"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2

"Adobe Shockwave Player" = Adobe Shockwave Player

"Gadu-Gadu 10" = Gadu-Gadu 10

- Szczegóły aktualizacyjne w tym wątku: INSTRUKCJE.

- Polecam też zamianę GG10 lżejszym programem. W temacie Darmowe komunikatory popatrz na opisy AQQ, Kadu, WTW i Miranda. Z mojej strony podpowiedź: WTW.

 

5. Dobór zabezpieczeń: stary ESET i AVG pożegnały ten system, należy coś tu wstawić w zamian. Może za darmo kombinacja: Avast + Online Armor Free.

 

 

 

 

.

Edytowane przez picasso
25.07.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...