Problem z qooqlle

[bialy]

Witam.

Jak w temacie mam problem z qooqlle. Dodam że miałem problem z odpaleniem OTL musiałem wspomóc go OTH.

Prosił bym o pomoc z góry dziękuje.

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL poprzez metodę OTH, w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.selectedEngine: "qooqlle"
FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/"
O3: - HKU\S-1-5-21-1183799999-445653959-1048351909-1000\..\Toolbar\WebBrowser - No CLSID value found.
O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe ()
O4 - HKU\S-1-5-21-1183799999-445653959-1048351909-1000..\Run: [Crystal.exe] C:\Users\User\AppData\Roaming\Crystal.exe ()
O4 - HKU\S-1-5-21-1183799999-445653959-1048351909-1000..\Run: [nvwiz] C:\ProgramData\nvwiz.exe (                                                                               )
O4 - HKU\S-1-5-21-1183799999-445653959-1048351909-1000..\Run: [RMF FM Miasto Muzyki]  File not found
O16 - DPF: {D27CDC6E-AE6D-11CF-96B8-444553540000} "http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - Reg Error: Key error. File not found
 
:Files
C:\Users\User\AppData\Local\nvwiz.exe
C:\Users\User\AppData\Local\Crystal.exe
C:\Users\User\AppData\Local\done.exe
C:\Users\User\AppData\Local\data2.cab
C:\Users\User\AppData\Local\Setup.dat
C:\Users\User\AppData\Roaming\System.dat
C:\Users\User\AppData\Roaming\etc.dat
C:\Users\User\AppData\Roaming\DirectX.dat
C:\Users\User\AppData\Roaming\Windows.dat
C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\rolax73n.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}
C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\rolax73n.default\extensions\{8532a8b7-c06a-41bb-936a-8ce73e4711ed}
C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\rolax73n.default\extensions\DTToolbar@toolbarnet.com
C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\rolax73n.default\searchplugins\conduit.xml
C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\rolax73n.default\searchplugins\daemon-search.xml
C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\rolax73n.default\searchplugins\search.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Automatycznie otworzy się log z wynikami usuwania.

 

2. Przejdź do Panelu sterowania do modułu deinstalacji programów i odinstaluj śmieci paskowe / adware: Ask Toolbar, Bandoo, Brothersoft Toolbar, DAEMON Tools Toolbar, free-downloads.net Toolbar, gry Toolbar, Windows Searchqu Toolbar, Zynga Toolbar.

 

3. Wygeneruj do oceny dwa nowe logi: OTL z opcji Skanuj oraz AD-Remover z opcji Scan. Dołącz też log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

.

[bialy]

Oto logi

otl killed.txt

OTL.Txt

Ad-Remover.txt

[picasso]

Skrypt pomyślnie wykonany. Przechodzimy do czyszczenia odpadków adware.

 

1. Uruchom AD-Remover i zastosuj akcję Clean.

 

2. Następnie poprawka na wpisy, których AD-Remover nie usunie. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
"{7B13EC3E-999A-4B70-B9CB-2617B8323822}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{7b13ec3e-999a-4b70-b9cb-2617b8323822}"=-
"{8532a8b7-c06a-41bb-936a-8ce73e4711ed}"=-
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0CAFFAAC-426B-4F4C-8DE7-2F0B2B64DBF3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\cfea1a8e-d7c7-4385-8e5e-8b52b2d2929b]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt.

 

3. Przedstaw do oceny: log wygenerowany z usuwania w punkcie 2 oraz nowy log z AD-Remover z opcji Scan.

 

 

 

 

.

[bialy]

Proszę bardzo

OTL.txt

Ad-Remower.txt

[picasso]

Zadanie wygląda na wykonane, choć log z AD-Remover jest teraz dziwny, bo nie przedstawia w ogóle konfiguracji Internet Explorer...... To wygląda na log niepełny, urwany w połowie skanowania. Ponów opcję Scan i wymiań raporty.

[bialy]

Explerer działa teraz w porzadku ale na chromie nadal otwierają mi się qooqlle.

Ad-remower.txt

[picasso]

AD-Remover potwierdza wykonanie zadań. Z nim skończyliśmy. Gdy przeprowadzisz poniższą operację, zadam kroki finalizujące.

 

 

Explerer działa teraz w porzadku ale na chromie nadal otwierają mi się qooqlle.

 

A przepraszam, nie zauważyłam na liście zainstalowanych tej przeglądarki, a i log z AD-Remover nie przedstawił jej konfiguracji (a powinien) pogłębiając moją nieuwagę. Google Chrome nie może być czyszczone za pomocą skryptów OTL, te mogą operować tylko na preferencjach IE i Firefox (co tu przeprowadzone). Teraz, gdy główne procesy Qooqlle zostały zlikwidowane, jest możliwa trwała ręczna konfiguracja tej przeglądarki. Musisz wejść do Opcji i zmienić dwie rzeczy: stronę startową oraz wyszukiwarkę. Wzoruj się na tym temacie: KLIK.

 

 

 

.

[bialy]

Super wszysko działa jak należy więc dziękuje bardzo.

 

Czy jeszcze coś mam zrobić lub pokazać?? Jeśli nie to mam jeszcze pytanko bo na drugim komputerze miałem problem z google gdy otwierałem jakąś strone wyszukaną przez google zamiast niej wyskakiwała mi strona gnomeo lub jakies strony z amerykanskimi reklamami, gdzieś na internecie znalazłem taki sam przypadek i urzyłem podany tam skrypt w OTL (puźniej na tym forum przeczytałem że tak nie można),skrypt ten zadziałał i google działają prawidłowo ale nie wiem czy z tego powodu nie będę miał problemów z kompem??

[picasso]

Przechodzimy do czynności końcowych:

 

1. Wyczyść po używanych narzędziach: Odinstaluj AD-Remover. W OTL uruchom Sprzątanie.

 

2. Wykonaj (istotne pod kątem łatania luk) aktualizacje oprogramowania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{3248F0A8-6813-11D6-A77B-00B0D0150090}" = J2SE Runtime Environment 5.0 Update 9
"{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3
"{AC76BA86-7AD7-1030-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Dansk
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"ClamWin Free Antivirus_is1" = ClamWin Free Antivirus 0.97.2
"Gadu-Gadu 10" = Gadu-Gadu 10
"Google Chrome" = Google Chrome
"Mozilla Firefox 4.0.1 (x86 en-US)" = Mozilla Firefox 4.0.1 (x86 en-US)

• Jako antywirus figuruje tu ClamWin Free Antivirus (zresztą to z nim wszedł super dziadoski pasek adware Ask Toolbar, co wybitnie tępię = program dedykowany zagadnieniu malware nie może robić takiego triku). Sugeruję pozbyć się tego, bo to tylko skaner bez rezydenta. W zamian proponuję lekkie nowoczesne i darmowe AV z osłoną w technice chmury: Immunet Protect Free lub Panda Cloud Antivirus.
  
• wykonaj podstawy aktualizacyjne (przeglądarki, Java, produkty Adobe): Zakładam, że wszystkie łatki do systemu i Office 2007 są zainstalowane.
  
• Rozważ wymianę dziadostwa GG10 alternatywą. W temacie Darmowe komunikatory popatrz na opisy: AQQ, Kadu, WTW i Miranda. Wyróżniony = nie bez powodu wyróżniony.
  

3. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

na drugim komputerze miałem problem z google gdy otwierałem jakąś strone wyszukaną przez google zamiast niej wyskakiwała mi strona gnomeo lub jakies strony z amerykanskimi reklamami, gdzieś na internecie znalazłem taki sam przypadek i urzyłem podany tam skrypt w OTL (puźniej na tym forum przeczytałem że tak nie można),skrypt ten zadziałał i google działają prawidłowo ale nie wiem czy z tego powodu nie będę miał problemów z kompem??

 

Pokaż jaki skrypt i skąd oraz przedstaw logi z tego systemu (OTL + GMER).

 

 

 

.

[bialy]

Więc zrobiłem wszystko jak jest napisane dziękuje bardzo za pomoc.

 

Co do tego drugiego kompa to wszystko znalazłem tylko mam problem z GMER mogę tylko zaznaczyć ptaszki na usługi, rejestr i pliki. Skrypt wziąłem z tej strony:

h**p://www.elektroda.pl/rtvforum/topic2083858.html#9905980

Skrypt ktory wykonalem.txt

OTL.Txt

Extras.Txt

[picasso]

Co do tego drugiego kompa to wszystko znalazłem tylko mam problem z GMER mogę tylko zaznaczyć ptaszki na usługi, rejestr i pliki.

 

Nie wczytałeś się w opis GMER: program nie jest przeznaczony na systemy x64 i nie będzie poprawnie na tej platformie działał. Nie wiedziałam, że masz na myśli system 64-bit, dlatego wzmiankowałam GMER, ale to było oczywiste, że należało się z nim powstrzymać mając informację w opisie.

 

 

Skrypt wziąłem z tej strony

 

Dałeś czadu, ten skrypt prawie nic tu nie zrobił. Przecież w skrypcie są ścieżki systemu Windows XP (Ty masz Windows 7 i to na dodatek 64-bit!), cudze daty (takich wpisów nie mogło być u Ciebie, OTL na pewno tego nie przetworzył). Żadnym cudem to nie mogło tu pójść, Documents and Settings a Users to kompletnie co innego, nie wspominając o "niuansach" między 32-bit a 64-bit. Jedyne co ten skrypt na pewno zrobił, to komendę czyszczenia lokalizacji tymczasowych:

 

:Commands

[emptytemp]

 

To się wykona na każdym systemie. Skoro ten skrypt, kompletnie niezgodny z Twoim systemem, Ci pomógł, to problem (który nie jest zażegnany) musiał siedzieć w cache plików tymczasowych lub zbieg okoliczności. Innego wyjaśnienia tu nie widzę. I skłaniam się tu do teorii, że efekt ustał przypadkowo, a dlatego że jest to co poniżej:

 

 

---

Natomiast co jest w Twoich logach faktycznie teraz:

 

- infekcja ZeroAccess (nie można consrv.dll usuwać od tak, bo system skończy z BSOD, jest zakamuflowany wpis w rejestrze relatywny do tego pliku):

 

[2011-09-12 19:37:08 | 000,002,048 | ---- | M] () -- C:\Windows\SysNative\consrv.dll
[2011-08-20 22:28:27 | 000,000,000 | ---D | C] -- C:\Windows\system64

- inne pliki infekcji (m.in. sfałszowany plik HOSTS), na forum kojarzone z zainfekowaniem via Facebook

- adware (QuestService wmontowane w Firefox oraz Ask Toolbar, wprowadzony przez ClamWin, zainstalowany w Firefox i IE)

 

 

W związku z obecnością ZeroAccess pobierz i uruchom zgodnie z wytycznymi ComboFix (umie się obchodzić z tym wariantem infekcji). Przedstaw wynikowy log.

 

 

 

.

[bialy]

Proszę

ComboFix.txt

[picasso]

ComboFix pomyślnie zlikwidował infekcję ZeroAccess oraz różne inne szkodliwe pliki. Widzę także, że już deinstalowałeś Ask Toolbar, bo słabiutko go wyczuwam, a i wymiana nastąpiła ClamWin > Panda Cloud. Zostały poprawki:

 

1. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\SysNative\drivers\etc\hîsts
C:\Windows\update.8.1
C:\Windows\ufa
C:\Windows\info1
C:\Windows\phoenix.rar
C:\Windows\rpcminer.rar
C:\Windows\unrar.exe
C:\Windows\ufa.rar
C:\Windows\geoiplist.rar
C:\Windows\geoiplist
C:\Windows\loader2.exe_ok
C:\Windows\SysWow64\temp.*
C:\Users\x\AppData\Local\Temp*.html
C:\Users\x\temp.dat
C:\Program Files (x86)\Common Files\AskToolbarInstaller.exe
C:\Program Files (x86)\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50}
 
:OTL
FF - prefs.js..extensions.enabledItems: {F2DDDB92-1605-4260-9B25-45A4DAE87B50}:1.0
 
:Commands
[emptyflash]
[emptytemp]

klik w Wykonaj skrypt.

 

2. Przedstaw do oceny: log z wynikami usuwania z punktu 1 oraz nowy log z OTL z opcji Skanuj plus log z AD-Remover z opcji Scan.

 

 

 

.

[bialy]

No domyśliłem się że będzie to zalecane biorąc pod wgląd tamtego kompa.

Wynik usuwania.txt

OTL.Txt

Ad-Report-SCAN1.txt

[picasso]

1. Uruchom AD-Remover z opcji Clean, co wyczyści szczątki adware przez niego wykryte.

 

2. Drobna poprawka na dwa wpisy, których w/w proces nie ujmie. W OTL w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt.

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{00000000-5736-4205-0008-F7ED0776FB27}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ba20b5da-0f48-40c5-b8c9-2cda4ecf75c2}]

3. Przedstaw (ostatni już) log z AD-Remover z opcji Scan.

 

 

 

 

.

[bialy]

Zrobione

Ad-Report-SCAN2.txt

[picasso]

1. AD-Remover nadal widzi Ask w preferencjach Firefox:

 

-- File opened: C:\Users\x\AppData\Roaming\Mozilla\FireFox\Profiles\4y3cpaof.default\Prefs.js --
Line found: user_pref("browser.search.defaultengine", "Ask.com"); 
-- File closed --

Po prostu otwórz Firefox, wejdź do menedżera wyszukiwarek, przestaw na inną domyślną, a to dziadostwo wymaż. Jeśli nie widać tego na liście, to przy zamkniętym Firefox ponów AD-Remover z opcji Clean.

 

2. Porządki po używanych narzędziach, dokładnie w tej kolejności:

 

• Odinstaluj AD-Remover.
  
• Odinstaluj ComboFix, z klawiatury kombinacja klawisz z flagą Windows + R i w Uruchom wklej: C:\Users\x\Desktop\ComboFix.exe /uninstall
  
• Użyj Sprzątanie w OTL.
  

3. Aktualizacje do wykonania (linki już podawałam dla poprzedniego delikwenta):

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1030-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Dansk
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Mozilla Firefox (3.6.22)" = Mozilla Firefox (3.6.22)

4. Na wszelki wypadek zmień hasła logowań w serwisach.

 

 

 

.

[bialy]

Ok dziękuję bardzo za pomoc jeszcze tylko aktualizacje mi zostały, i to już wszystko??

[picasso]

Tak, to już wszystko z mojej strony. Chyba, że masz jeszcze jakiś problem, który należy rozwiązać. Jeśli nie, temat będziemy zamykać.

[bialy]

Na razie więcej problemów nie widzę więc dziękuję temat można zamknąć.