Usuwanie Qooqle.pl

[Wuj3k]

Witam!

Ostatnio zamiast standardowej strony startowej "google.pl" wyskakuje mi "qooqle.pl"

nie chciałbym jej mieć ponieważ zaczynają się tam pokazywać treści erotyczne.

Prosiłbym o pomoc Dziękuje!

"jestem w tym zielony więc proszę o jakieś jasne odpowiedzi"

[picasso]

"jestem w tym zielony więc proszę o jakieś jasne odpowiedzi"

 

Na samym froncie działu Malware jest ogłoszenie otagowane słowem "WAŻNE": KLIK. Czyli proszę o logi z OTL + GMER.

[Wuj3k]

Proszę bardzo i przepraszam za kłopoty.

Extras.Txt

OTL.Txt

[picasso]

Widzę, że próbowałeś już przepuszczać jakiś skrypt do OTL. Jeśli podpatrzony w innym temacie, to błąd, nie wolno takich rzeczy robić. Każda instrukcja jest unikatowa dla danego systemu, adresuje także często rzeczy spoza infekcji charakterystyczne tylko dla tego konkretnego systemu.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O4 - HKLM..\Run: [svhost] C:\Program Files (x86)\Common Files\svhost.exe ()
O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O4 - HKCU..\Run: [ares]  File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany, po restarcie powinien automatycznie otworzyć się log z wynikami usuwania. Jeśli to nie nastąpi, szukaj raportu w katalogu C:\_OTL.

 

2. Kolejny krok to deinstalacja śmieci sponsoringowych / niepożądanych pasków narzędziowych. Otwórz Panel sterowania, wejdź do apletu deinstalacji programów i usuń: BitTorrentBar Toolbar, Conduit Engine, DAEMON Tools Toolbar, Windows iLivid Toolbar.

 

3. Wygeneruj nowe logi do oceny: OTL z opcji Skanuj oraz AD-Remover z opcji Scan. Dołącz też log z wynikami usuwania z punktu 1.

 

 

 

.

[Wuj3k]

Przepraszam że tak długo ale mam problem z łącznością z internetem

masz tu 2 pliki jest jeszcze 3 ale nie mam uprawnień do wgrywania

 

 

3PLIK: w wersji skopiowanej

All processes killed

========== OTL ==========

64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 not found.

64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\csrs not found.

File C:\ProgramData\csrs.exe not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\svhost not found.

File C:\Program Files (x86)\Common Files\svhost.exe not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\winloqon not found.

File C:\ProgramData\winloqon.exe not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ares not found.

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: All Users

 

User: AwU

->Flash cache emptied: 0 bytes

 

User: AwU_2

->Flash cache emptied: 0 bytes

 

User: Default

 

User: Default User

 

User: Public

 

User: UpdatusUser

 

Total Flash Files Cleaned = 0.00 mb

 

 

[EMPTYTEMP]

 

User: All Users

 

User: AwU

->Temp folder emptied: 55811 bytes

->Temporary Internet Files folder emptied: 78756 bytes

->Java cache emptied: 0 bytes

->Google Chrome cache emptied: 9993458 bytes

->Flash cache emptied: 0 bytes

 

User: AwU_2

->Temp folder emptied: 3186742 bytes

->Temporary Internet Files folder emptied: 6065686 bytes

->Java cache emptied: 13489 bytes

->Flash cache emptied: 0 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 11758 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 19.00 mb

 

 

OTL by OldTimer - Version 3.2.27.0 log created on 09012011_173244

 

Files\Folders moved on Reboot...

File move failed. C:\Users\AwU\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.

File move failed. C:\Windows\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

Ad-Report-SCAN1.txt

OTL.Txt

[picasso]

Ten skrypt chyba uruchamiałeś więcej niż raz (co jest całkowicie bezsensowne, skrypt jest jednorazowego użytku!), gdyż wg danych nic nie skasował (wszystko "not found") ale wpisów już nie ma (czyli skrypt musiał działać wcześniej).

 

1. Qooqlle jest nadal w przeglądarce Google Chrome (skrypty OTL mogą konfigurować tylko Firefox i IE):

 

-- C:\Users\AwU\AppData\Local\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Enabled: true) (hxxp://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F)
Preferences - homepage: hxxp://www.qooqlle.com/

Należy ręcznie skonfigurować Google Chrome wchodząc w Opcje i modyfikując stronę startową + wyszukiwarkę (Qooqlle zedytowało wyszukiwarkę Google i należy ją poprawić). Wzoruj się na tym temacie: KLIK.

 

2. Zostały nam do wykonania korekty apropos adware. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{88c7f2aa-f93f-432c-8f0e-b7d85967a527}"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8F8B9874-CBDA-468E-87D1-E96A57B9222F}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079a25-328f-4bd4-be04-00955acaa0a7}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079a25-328f-4bd4-be04-00955acaa0a7}]
[-HKEY_CURRENT_USER\Software\DataMngr]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Conduit.Engine]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Toolbar.CT2790392]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Conduit]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Trymedia Systems]
 
:Files
C:\Users\AwU\AppData\Local\Conduit
C:\Users\AwU\AppData\LocalLow\Conduit
C:\Program Files (x86)\Conduit

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

3. Do oceny: skrypt z wynikami usuwania z punktu 2 oraz nowy AD-Remover trybu Scan.

 

 

 

 

.

[Wuj3k]

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{32099AAC-C132-4136-9E9A-4E364A424E17} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\ not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42168F92-DA71-42E6-BC7F-132EAC1F1899}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8F8B9874-CBDA-468E-87D1-E96A57B9222F}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F8B9874-CBDA-468E-87D1-E96A57B9222F}\ not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079a25-328f-4bd4-be04-00955acaa0a7}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079a25-328f-4bd4-be04-00955acaa0a7}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ not found.

Registry key HKEY_CURRENT_USER\Software\DataMngr\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Conduit.Engine\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\Toolbar.CT2790392\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Conduit\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Trymedia Systems\ deleted successfully.

========== FILES ==========

C:\Users\AwU\AppData\Local\Conduit folder moved successfully.

C:\Users\AwU\AppData\LocalLow\Conduit\Community Alerts\Log folder moved successfully.

C:\Users\AwU\AppData\LocalLow\Conduit\Community Alerts folder moved successfully.

C:\Users\AwU\AppData\LocalLow\Conduit folder moved successfully.

File\Folder C:\Program Files (x86)\Conduit not found.

 

OTL by OldTimer - Version 3.2.27.0 log created on 09022011_155000

Ad-Report-SCAN2.txt

[picasso]

Wszystko zostalo poprawnie wykonane. Możemy przejść do czynności końcowych.

 

1. Uporządkuj po używanych narzędziach: Odinstaluj AD-Remover. W OTL uruchom Sprzątanie.

 

2. Wykonaj aktualizacje programów. Aktualnie widzę u Ciebie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26
"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{FFB768E4-E427-4553-BC36-A11F5E62A94D}" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"avast!" = avast! Antivirus
"Gadu-Gadu 10" = Gadu-Gadu 10

• Posiadasz zdezelowanego przestarzałego Avasta (wnioskując po ścieżkach to wersja 4). Program odinstaluj, z poziomu Trybu awaryjnego Windows popraw dedykowanym narzędziem Avast Uninstall Utility, a następnie zainstaluj najnowszą wersję Avast 6.
  
• Starszą 32-bitową Javę i Adobe Reader zastąp najnowszymi wersjami. Jeśli korzystasz tylko z Google Chrome (ma własny wewnętrzny Flash), to możesz całkowicie odinstalować wszystkie widziane tu wystąpienia Flash (to wersje dla IE i Firefox/Opera). Jeśli korzystasz jednak z przeglądarki IE, to zachowaj tylko wersję "ActiveX". Wszystkie szczegóły: INSTRUKCJE.
  
• Komunikatory: zaktualizuj Skype oraz rozważ wymianę ciężkiego GG10 czymś bardziej ludzkim. Pod system 64-bit proponuję program WTW lub Miranda. Opisy znajdziesz w moim artykule Darmowe komunikatory. Dlaczego WTW: natywna wersja 64-bit, dobra obsługa wszystkich ważnych cech GG10, import archiwum GG10, całkowity brak reklam, tryb portable.
  

3. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

Potwierdź wykonanie wszystkich operacji, podsumuj stan systemu i czy coś jeszcze wymaga korekty.

 

 

 

 

.

Edytowane 28 Października 2011 przez picasso
1.10.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso