Magical Opublikowano 11 Września 2011 Zgłoś Udostępnij Opublikowano 11 Września 2011 (edytowane) Mam problem z qooqlle. Skan OTS: OTS.Txt Prosze o szybka pomoc. Edytowane 11 Września 2011 przez picasso Log wstawiony jako Załącznik. //picasso Odnośnik do komentarza
Landuss Opublikowano 11 Września 2011 Zgłoś Udostępnij Opublikowano 11 Września 2011 Nie wklejaj logów na hosting. Od tego masz załączniki forum i tak zrób następnym razem. Dałeś log z OTS więc według przypuszczeń OTL nie możesz uruchomić bo blokuje go infekcja. 1. Uruchom OTS i w oknie Paste Fix Here wklej: [Win32 Services - Safe List] YN -> (NMIndexingService) NMIndexingService [On_Demand | Stopped] -> [Registry - Safe List] < Internet Explorer Settings [HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\] > -> YN -> HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\: Main\\"Start Page" -> "http://www.qooqlle.com/" YN -> HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\: URLSearchHooks\\"{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.] < FireFox Settings [Prefs.js] > -> C:\Users\grazyna\AppData\Roaming\Mozilla\FireFox\Profiles\2i58shpt.default\prefs.js YN -> browser.search.selectedEngine -> "qooqlle" YN -> browser.startup.homepage -> "http://www.qooqlle.com/" < FireFox SearchPlugins [user Folders] > -> YY -> search.xml -> C:\Users\grazyna\AppData\Roaming\Mozilla\FireFox\Profiles\2i58shpt.default\searchplugins\search.xml < Internet Explorer ToolBars [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar YN -> "{0BF43445-2F28-4351-9252-17FE6E806AA0}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.] < Internet Explorer ToolBars [HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\] > -> HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\Software\Microsoft\Internet Explorer\Toolbar\ YN -> WebBrowser\\"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.] < Run [HKEY_LOCAL_MACHINE\] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run YY -> "csrs" -> C:\ProgramData\csrs.exe [%ALLUSERSPROFILE%\csrs.exe] YY -> "GProton" -> C:\ProgramData\GProton.exe [%ALLUSERSPROFILE%\GProton.exe] YY -> "winloqon" -> C:\ProgramData\winloqon.exe [%ALLUSERSPROFILE%\winloqon.exe] < Run [HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\] > -> HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run YN -> "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" -> ["C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"] YN -> "Clownfish" -> [] YY -> "Crystal.exe" -> C:\Users\grazyna\AppData\Roaming\Crystal.exe [C:\Users\grazyna\AppData\Roaming\Crystal.exe] YY -> "nvwiz" -> C:\ProgramData\nvwiz.exe [C:\ProgramData\nvwiz.exe] < Internet Explorer Menu Extensions [HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\] > -> HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\Software\Microsoft\Internet Explorer\MenuExt\ YN -> Funkcja Google Sidewiki -> [res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html] [Files/Folders - Modified Within 30 Days] NY -> System.dat -> C:\Users\grazyna\AppData\Roaming\System.dat NY -> etc.dat -> C:\Users\grazyna\AppData\Roaming\etc.dat NY -> patterns.ini -> C:\Users\grazyna\AppData\Local\patterns.ini NY -> Windows.dat -> C:\Users\grazyna\AppData\Roaming\Windows.dat NY -> DirectX.dat -> C:\Users\grazyna\AppData\Roaming\DirectX.dat [Empty Temp Folders] [EmptyFlash] Rozpocznij usuwanie przyciskiem Run Fix. 2. Wklejasz nowy log z OTS oraz AD-Remover z opcji Scan. Odnośnik do komentarza
Magical Opublikowano 11 Września 2011 Autor Zgłoś Udostępnij Opublikowano 11 Września 2011 Logi z OTS i Ad remover wkleje za jakiś tydzien, bo teraz jestem u babci ^^ Odnośnik do komentarza
Magical Opublikowano 7 Października 2011 Autor Zgłoś Udostępnij Opublikowano 7 Października 2011 To log z ots. Nie moge dodać zalacznika :-( . Wklejam tak All Processes Killed[Win32 Services - Safe List] Service NMIndexingService stopped successfully! [Registry - Safe List] Registry value HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\Software\Microsoft\Internet Explorer\Main\\Start Page deleted successfully. Registry value HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\Software\Microsoft\Internet Explorer\URLSearchHooks\\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\ not found. Prefs.js: "qooqlle" removed from browser.search.selectedEngine Prefs.js: "http://www.qooqlle.com/" removed from browser.startup.homepage C:\Users\grazyna\AppData\Roaming\Mozilla\FireFox\Profiles\2i58shpt.default\searchplugins\search.xml moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar\\{0BF43445-2F28-4351-9252-17FE6E806AA0} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0BF43445-2F28-4351-9252-17FE6E806AA0}\ not found. Registry value HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\csrs deleted successfully. C:\ProgramData\csrs.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\GProton deleted successfully. C:\ProgramData\GProton.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\winloqon deleted successfully. C:\ProgramData\winloqon.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} deleted successfully. Registry value HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Clownfish deleted successfully. Registry value HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Crystal.exe deleted successfully. File C:\Users\grazyna\AppData\Roaming\Crystal.exe not found. Registry value HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\nvwiz deleted successfully. C:\ProgramData\nvwiz.exe moved successfully. Registry key HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\Software\Microsoft\Internet Explorer\MenuExt\Funkcja Google Sidewiki\ deleted successfully. [Files/Folders - Modified Within 30 Days] C:\Users\grazyna\AppData\Roaming\System.dat moved successfully. C:\Users\grazyna\AppData\Roaming\etc.dat moved successfully. C:\Users\grazyna\AppData\Local\patterns.ini moved successfully. C:\Users\grazyna\AppData\Roaming\Windows.dat moved successfully. C:\Users\grazyna\AppData\Roaming\DirectX.dat moved successfully. [Empty Temp Folders] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56504 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: grazyna ->Temp folder emptied: 1692443646 bytes ->Temporary Internet Files folder emptied: 2828864808 bytes ->Java cache emptied: 51736 bytes ->FireFox cache emptied: 7525932 bytes ->Google Chrome cache emptied: 351571140 bytes ->Flash cache emptied: 118660 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 51207698 bytes RecycleBin emptied: 23867225322 bytes Total Files Cleaned = 27,465.00 mb [EMPTYFLASH] User: All Users User: Default ->Flash cache emptied: 0 bytes User: Default User ->Flash cache emptied: 0 bytes User: grazyna ->Flash cache emptied: 0 bytes User: Public Total Flash Files Cleaned = 0.00 mb < End of fix log > OTS by OldTimer - Version 3.1.44.6 fix logfile created on 10072011_185212 Files\Folders moved on Reboot... File\Folder C:\Windows\temp\klsA113.tmp not found! Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 7 Października 2011 Zgłoś Udostępnij Opublikowano 7 Października 2011 Nie moge dodać zalacznika :-( W zasadach działu jest wyraźnie napisane: Załączniki przyjmują tylko rozszerzenie *.TXT a nie *.LOG. Poza tym, uzupełnij logi, nie dodałeś ani nowego OTS z opcji Run Scan, ani AD-Remover z opcji Scan. . Odnośnik do komentarza
Magical Opublikowano 7 Października 2011 Autor Zgłoś Udostępnij Opublikowano 7 Października 2011 Ok , juz poprawiam. OTS.Txt skan ad.txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2011 Zgłoś Udostępnij Opublikowano 10 Października 2011 (edytowane) Nie mam pojęcia skąd ten raport tu, to nie jest raport z narzędzia AD-Remover (dostałeś link do tematu, gdzie jest cały opis tego narzędzia...). A wg loga z OTS infekcja Qooqlle pomyślnie usunięta. Natomiast widzę tu niepożądaną rzecz, czyli skombinowanie AVG 2012 z McAfee, co jest prostą drogą do konfliktów. Log z OTS był zrobiony z pominięciem listy zainstalowanych programów, toteż nie wiadomo czy McAfee to w pełni zainstalowany obiekt czy może tylko szczątki (choć po ilości wpisów w logów obstawiam szczątki). Skorzystaj z firmowego czyściciela McAfee Consumer Products Removal tool. . Edytowane 10 Grudnia 2011 przez picasso 10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi