Strona qooqlle, jak usunąć, błędy w komputerze

[aadriaan]

Witam, mam problem z usunięciem strony startowej qooqlle, czytając posty na tym forum zapewne spowodowało to wgranie kodeków z jakiegoś torrenta, te kodeki już usunąłem, ale błąd nie zniknął.

Poza tym komputer od dawna jest już bardzo spowolniony, więc może z logów coś będzie widać.

OTL mi sie nie otwiera na win 7 :/

 

Mam nadzieję, że uda się coś z tym zrobić..

[Landuss]

OTL mi sie nie otwiera na win 7 :/

 

Tu nie chodzi o system, winę ponosi rodzaj infekcji qooqlle, która to blokuje uruchamianie OTL. Jest na to rada - pobierz narzędzie OTH i umieść go obok OTL. Wybierz w nim opcję zabicia procesów "Kill All Processes", a następnie opcję "Start OTL".

[aadriaan]

Robię tak jak piszesz, próbowałem z każdą wersją OTL, i exe, com i src i nic.

otwiera się okienko OTL i od razu znika :/

[Landuss]

Nie wiem skąd taki problem bo ten sposób powinien działać. W takim razie przejdźmy do usuwania.

 

1. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFile: 
"C:\ProgramData\csrs.exe"
"C:\ProgramData\winloqon.exe"
"C:\Program Files\Common Files\svhost.exe"
"C:\Users\PRZEMEK\AppData\Roaming\Mozilla\Firefox\Profiles\ga9is2g2.default\searchplugins\search.xml"
"C:\Users\PRZEMEK\AppData\Roaming\Mozilla\Firefox\Profiles\ga9is2g2.default\searchplugins\daemon-search.xml"
 
DeleteRegValue:
HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\csrs
HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\svhost
HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\winloqon

Klik w Execute Now. Zatwierdź restart komputera.

 

2. Z panelu usuwania programów odinstaluj niepotrzebne paski - DAEMON Tools Toolbar / Pasek narzędzi AOL 5.0

 

3. Wklejasz raport z BlitzBlank oraz z AD-Remover z trybu skanowania. Starasz się też wykonać OTL (powinien już działać)

 

 

[aadriaan]

Usunąłem zbędne paski, natomiast wyskakuje błąd w BlitzBlank o treści:

 

Syntax error in line 4, Invalid file path.

[picasso]

To błąd świadczący, że pliku nie ma na dysku. W tym przypadku to błąd w skrypcie (ścieżka powinna być 32-bitowa C:\Program Files (x86) a nie podana w skrypcie 64-bitowa C:\Program Files), wynikający z nieścisłości RSIT, który jest z trudem nagięty do systemu x64. Bez świeżych logów praca jest utrudniona. Proszę spróbuj uruchomić narzędzie OTS.

[aadriaan]

Udało się uzyskać logi OTS'em

OTS.Txt

[picasso]

1. Uruchom OTS i w oknie Paste Fix Here wklej:

 

[Registry - Safe List]
 -> 
YN -> HKEY_USERS\S-1-5-21-747343813-4282703018-2026807040-1000\: URLSearchHooks\\"{942cd1d4-9cc1-4d31-876a-ea8f489f7a59}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
 -> C:\Users\PRZEMEK\AppData\Roaming\Mozilla\FireFox\Profiles\ga9is2g2.default\prefs.js
YN -> browser.search.selectedEngine -> "qooqlle"
YN -> browser.startup.homepage -> "http://www.qooqlle.com/"
YN -> keyword.URL -> "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q="
 -> 
NY ->  daemon-search.xml -> C:\Users\PRZEMEK\AppData\Roaming\Mozilla\FireFox\Profiles\ga9is2g2.default\searchplugins\daemon-search.xml
NY ->  search.xml -> C:\Users\PRZEMEK\AppData\Roaming\Mozilla\FireFox\Profiles\ga9is2g2.default\searchplugins\search.xml
 -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar
YN -> "{32099AAC-C132-4136-9E9A-4E364A424E17}" [HKLM] -> [DAEMON Tools Toolbar]
 -> HKEY_USERS\S-1-5-21-747343813-4282703018-2026807040-1000\Software\Microsoft\Internet Explorer\Toolbar\
YN -> WebBrowser\\"{942CD1D4-9CC1-4D31-876A-EA8F489F7A59}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
 -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YY -> "csrs" -> C:\ProgramData\csrs.exe [%ALLUSERSPROFILE%\csrs.exe]
YY -> "svhost" -> C:\Program Files (x86)\Common Files\svhost.exe [%COMMONPROGRAMFILES%\svhost.exe]
YY -> "winloqon" -> C:\ProgramData\winloqon.exe [%ALLUSERSPROFILE%\winloqon.exe]
[Custom Items]
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
:end
[Empty Temp Folders]
[EmptyFlash]

Rozpocznij usuwanie przyciskiem Run Fix. Nastąpi restart, po nim otrzymasz log z usuwania.

 

2. Wygeneruj nowy log do oceny. Może być to OTL (już zacznie działać po usunięciu procesów Qooqlle w punkcie 1) lub OTS = dla mnie wszystko jedno. Tylko uwaga drobna: nie potrzebuję już tak grubych logów (niektóre dane się nie zmienią): jeśli dasz OTL to bez Extras, jeśli dasz OTS to odznacz wszystkie pola w Additional Scans.

 

 

 

.

[aadriaan]

Dziękuje bardzo za pomoc

Strona qooqle usunięta, zamieszczam dodatkowo nowe logi z OTL, być może zostały jeszcze jakieś poważniejsze błędy.

 

 

 

Dodatkowo mam problem z komputerem już przez ponad pół roku, laptop załącza się prawie 5minut i na dole wyskakuje informacja:

 

"Nie można nawiązać połączenia z usługą systemu Windows

System Windows nie może połączyć z usługą powiadamiania o zdarzeniach systemowych. Uniemożliwia to logowanie się do systemu zwykłym użytkownikom. Jako użytkownik administracyjny możesz przejrzeć szczegółowe informacje o przyczynie braku odpowiedzi."

 

W googlach znalazłem by w trybie awaryjnym wpisać netsh winsock reset i powinno działać, jednak u mnie to nic nie zmienia, dalej komputer się długo załącza jak i wyłącza, są problemy z logowaniem. Niby nie sprawia mi to problemu, ale sam fakt że się tak długo załącza w niektórych sytuacjach jest bardzo irytujący :/

OTL.Txt

Edytowane 28 Lipca 2011 przez aadriaan

[picasso]

Zapomniałam poprosić o log z wynikami usuwania. Coś tu się nie do końca usunęło. Wprawdzie pliki poleciały, ale nie wszystkie wpisy rejestru, mimo że były załączone do usuwania. Przyczyna niewiadoma.

 

1. Poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-747343813-4282703018-2026807040-1000\..\URLSearchHook: {942cd1d4-9cc1-4d31-876a-ea8f489f7a59} - Reg Error: Key error. File not found
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O3 - HKU\S-1-5-21-747343813-4282703018-2026807040-1000\..\Toolbar\WebBrowser: (no name) - {942CD1D4-9CC1-4D31-876A-EA8F489F7A59} - No CLSID value found.
O4 - HKLM..\Run: [csrs]  File not found
O4 - HKLM..\Run: [svhost]  File not found
O4 - HKLM..\Run: [winloqon]  File not found
@Alternate Data Stream - 24 bytes -> C:\Windows:5A2EC2F2654B6231
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

Klik w Wykonaj skrypt. Powstanie log z wynikami usuwania.

 

2. Pokaż log z usuwania (nie potrzebuję nowych logów OTL).

 

 

Dodatkowo mam problem z komputerem już przez ponad pół roku, laptop załącza się prawie 5minut i na dole wyskakuje informacja:

 

"Nie można nawiązać połączenia z usługą systemu Windows

System Windows nie może połączyć z usługą powiadamiania o zdarzeniach systemowych. Uniemożliwia to logowanie się do systemu zwykłym użytkownikom. Jako użytkownik administracyjny możesz przejrzeć szczegółowe informacje o przyczynie braku odpowiedzi."

 

W googlach znalazłem by w trybie awaryjnym wpisać netsh winsock reset i powinno działać, jednak u mnie to nic nie zmienia

 

1. Owszem, taki błąd może być, jeśli nieprawidłowo usunięto jakiś obiekt z Winsock (kiedyś rozwiązywałam ze dwa tematy tego pokroju). Aktualnie w Twoim Winsock siedzi Bonjour:

 

O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000010 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000010 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)

Komenda netsh winsock reset tego nie resetuje, bo to jest obszar NameSpace a nie Protocol adresowany komendą. Gdyby to miało być usuwane, należy to robić ręcznie jak rozpisane w tym spoilerze, oczywiście dostosowując do swojego przypadku numery: KLIK. Możesz tego oczywiście spróbować, choć ja mam silne wątpliwości czy błąd tu widziany to pochodna nieprawidłowości w Winsock. Może na początek wyeksportuj do wglądu wpisy rejestru. Start > w polu szukania wpisz regedit > z prawokliku wyeksportuj do pliku REG klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5

 

Plik REG zmień na TXT i dołącz do posta.

 

2. Soluto - ja bym odinstalowała ten szajs z systemu. Mimo że to wygląda na stosunkowo świeży nabytek, wprowadzony później niż wystąpienie problemu.

 

 

 

.

[aadriaan]

Dołączam logi z wynikami usuwania oraz plik reg z NameSpace_Catalog5

 

 

========== OTL ==========

Registry value HKEY_USERS\S-1-5-21-747343813-4282703018-2026807040-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{942cd1d4-9cc1-4d31-876a-ea8f489f7a59} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{942cd1d4-9cc1-4d31-876a-ea8f489f7a59}\ not found.

64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ deleted successfully.

Registry value HKEY_USERS\S-1-5-21-747343813-4282703018-2026807040-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{942CD1D4-9CC1-4D31-876A-EA8F489F7A59} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{942CD1D4-9CC1-4D31-876A-EA8F489F7A59}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\csrs deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\svhost deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\winloqon deleted successfully.

ADS C:\Windows:5A2EC2F2654B6231 deleted successfully.

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

 

OTL by OldTimer - Version 3.2.26.1 log created on 07292011_103213

 

 

Nie dało się wrzucić tutaj na serwer tych logów, ponieważ nie mam uprawnień, więc daje w ten sposób

 

 

_______________________________

EDIT:

 

Usunąłem Soluto oraz Bonjour, wpisy w rejestrze, te na 10 pozycji też zostały automatycznie usunięte, jednak problem dalej pozostał, więc nie wiadomo czego to jest wina :/

reg klucz.txt

[picasso]

Skoro manipulowałeś w rejestrze, to proszę pokaż aktualny widok klucza NameSpace_Catalog5, bo tu przedstawiony to najwyraźniej sytuacja przed usuwaniem Bonjour.

 

 

Nie dało się wrzucić tutaj na serwer tych logów, ponieważ nie mam uprawnień, więc daje w ten sposób

 

W zasadach działu jest napisane: Załączniki przyjmują tylko rozszerzenie *.TXT a nie *.LOG. Wystarczyło zmienić nazwę pliku, by się dołączył. Poza tym, to tak krótki log, że zabawa w hostingi trzecie to komplikacja i log wjeżdża wprost do posta.

 

 

.

[aadriaan]

Załączam wpis z rejestru

regklucz.txt

[picasso]

W łańcuchu z niedomyślnych obiektów sieci jeszcze Windows Live, ale nie wydaje mi się, że tu problemem jest Winsock. Podaj nowe dane w postaci kompletnych Dzienników zdarzeń do wglądu: KLIK.

[aadriaan]

Witam ponownie,

podaje dzienniki zdarzeń wg instrukcji

 

LOGI

 

Jeśli czegoś brakuje, to proszę pisać, postaram się szybko uzupełnić

Dziękuje i pozdrawiam.

[picasso]

Za dużo (niepotrzebnych) raportów. Prosiłam Cię tylko o Dzienniki a nie wszystkie typy raportów tam opisane. Usuwam nadwyżkę.

 

1. Na początek spróbuj przeprowadzić tweakowanie startu w posiadanym przez siebie Autoruns odptaszkowując zbędniki:

 

• Karta Logon: wszystko od Adobe, DivX, iTunes, QuickTime, Sun, Real, aktualizator AllPlayer.
  
• karta Services: usługi Google (gupdate) i Windows Defender (WinDefend).
  
• Karta Scheduled Tasks: Apple, Google, Real, Skype.
  

2. Co widzę w Dzienniku:

 

----> W gałęzi SYSTEM:

 

Zdarzenie 7022 Service Control Manager
 
Usługa Audio Service zawiesiła się podczas uruchamiania.

Zaś w gałęzi APLIKACJE zaraz po ostrzeżeniu Winlogon replikuje się i taki oto błąd:

 

Informacja Windows Error Reporting:
 
Pakiet błędów , typ 0
Nazwa zdarzenia: ServiceHang
Odpowiedź: Niedostępny
Identyfikator pliku Cab: 0
 
Sygnatura problemu:
P1: STacSV
P2: STacSV64.exe
P3: 1.0.6276.0
P4: 10
P5: 2
P6: 
P7: 
P8: 
P9: 
P10: 
 
Dołączone pliki: 
 
Te pliki mogą być dostępne tutaj:
 
 
Symbol analizy: 
Ponowne sprawdzanie rozwiązania: 0
Identyfikator raportu: 60734fcd-ba8f-11e0-bb4e-0027133b1f9b

Pojawia się tu kontekst wieszania tej usługi Audio:

 

SRV:64bit: - [2010-03-23 14:53:06 | 000,247,808 | ---- | M] (IDT, Inc.) [Auto | Running] -- C:\Windows\SysNative\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_960c1f056a541068\stacsv64.exe -- (STacSV)

Na chwilę obecną nie przychodzi mi do głowy nic innego niż poszukać aktualizacji sterowników na stronie producenta HP.

 

----> Dodatkowo w APLIKACJE męczy błędy niezwolnienia rejestru (pokazując różne aplikacje dostępowe - próbki poniżej) podczas wylogowywania. Takie objawy są zwykle charakterystyczne dla aktywności oprogramowania zabezpieczającego. Co bym więc sprawdziła: kompletną deinstalację AVG, by się zorientować czy ma to coś do rzeczy. I tak to nie jest najnowsza wersja, i tak czekałaby Cię aktualizacja.

 

Ostrzeżenie: zdarzenie 1530 User Profile Service
 
System Windows wykrył, że plik rejestru nadal jest używany przez inne aplikacje lub usługi. Plik zostanie teraz zwolniony. Aplikacje lub usługi, które używają pliku rejestru, mogą zacząć działać nieprawidłowo. 
 
 SZCZEGÓŁY — 
 1 user registry handles leaked from \Registry\User\S-1-5-21-747343813-4282703018-2026807040-1000:
Process 2220 (\Device\HarddiskVolume2\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-747343813-4282703018-2026807040-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
 
System Windows wykrył, że plik rejestru nadal jest używany przez inne aplikacje lub usługi. Plik zostanie teraz zwolniony. Aplikacje lub usługi, które używają pliku rejestru, mogą zacząć działać nieprawidłowo. 
 
 SZCZEGÓŁY — 
 24 user registry handles leaked from \Registry\User\S-1-5-21-747343813-4282703018-2026807040-1000:
Process 3484 (\Device\HarddiskVolume2\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE) has opened key \REGISTRY\USER\S-1-5-21-747343813-4282703018-2026807040-1000
Process 3484 (\Device\HarddiskVolume2\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE) has opened key \REGISTRY\USER\S-1-5-21-747343813-4282703018-2026807040-1000
Process 3484 (\Device\HarddiskVolume2\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE) has opened key \REGISTRY\USER\S-1-5-21-747343813-4282703018-2026807040-1000
Process 3484 (\Device\HarddiskVolume2\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE) has opened key \REGISTRY\USER\S-1-5-21-747343813-4282703018-2026807040-1000
Process 2520 (\Device\HarddiskVolume2\Program Files (x86)\Mozilla Firefox\firefox.exe) has opened key \REGISTRY\USER\S-1-5-21-747343813-4282703018-2026807040-1000
Process 3484 (\Device\HarddiskVolume2\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE) has opened key \REGISTRY\USER\S-1-5-21-747343813-4282703018-2026807040-1000\Software\Microsoft\SystemCertificates\trust
Process 884 (\Device\HarddiskVolume2\Windows\System32\spoolsv.exe) has opened key \REGISTRY\USER\S-1-5-21-747343813-4282703018-2026807040-1000\Software\Policies
Process 884 (\Device\HarddiskVolume2\Windows\System32\spoolsv.exe) has opened key \REGISTRY\USER\S-1-5-21-747343813-4282703018-2026807040-1000\Software\Policies
Process 884 (\Device\HarddiskVolume2\Windows\System32\spoolsv.exe) has opened key \REGISTRY\USER\S-1-5-21-747343813-4282703018-2026807040-1000\Software
Process 884 (\Device\HarddiskVolume2\Windows\System32\spoolsv.exe) has opened key \REGISTRY\USER\S-1-5-21-747343813-4282703018-2026807040-1000\Software
 
(...)

 

 

 

.

Edytowane 2 Września 2011 przez picasso
3.09.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso