Pojawiająca się strona qooqle

[Evil000]

Od 2 tygodni mam problem z pojawiajaca sie strona qooqle Dolaczam raport z OTL Z gory dziekuje za pomoc jestem tu nowy, a widzialem ze wielu ludziom pomogliscie

OTL.Txt

[picasso]

Evil000 to nie jest cały log z OTL, brak Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-3182080430-1596894450-1280680205-1000\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-3182080430-1596894450-1280680205-1000\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-3182080430-1596894450-1280680205-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\S-1-5-21-3182080430-1596894450-1280680205-1000..\Run: [jushed] C:\ProgramData\jushed.exe (                                                                               )
[2011-05-16 11:53:38 | 000,347,136 | RHS- | C] (NirSoft) -- C:\ProgramData\nircmd.exe
[2011-05-16 11:53:36 | 000,347,136 | ---- | C] (NirSoft) -- C:\Users\Mati\AppData\Local\nircmd.exe
[2011-05-16 11:53:35 | 007,987,953 | ---- | C] (CCCP Project                                                ) -- C:\Users\Mati\AppData\Local\Codecs.exe
[2011-05-16 11:53:35 | 000,566,784 | ---- | C] (                                                                               ) -- C:\Users\Mati\AppData\Local\jushed.exe
[2011-05-16 11:53:39 | 000,000,002 | ---- | C] () -- C:\ProgramData\timerxfile
[2011-05-16 11:53:39 | 000,000,002 | ---- | C] () -- C:\ProgramData\datesavefile
[2011-05-16 11:53:39 | 000,000,001 | ---- | C] () -- C:\ProgramData\varsavefile
[2011-05-16 11:53:38 | 000,004,768 | ---- | C] () -- C:\Users\Mati\AppData\Local\operaprefs.ini
[2011-05-16 11:53:38 | 000,004,768 | ---- | C] () -- C:\ProgramData\operaprefs.ini
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Automatycznie otworzy się log z wynikami usuwania.

 

2. Zrób nowy log z OTL opcją Skanuj (przypominam o Extras). Dołącz też log z wynikami usuwania otrzymanymi w punkcie 1.

 

 

 

 

.

[Evil000]

Wykonałem skrypt i dolaczam teraz logi Teraz juz kompletne Mam jeszcze prosbe czy mozna dolaczyc logi z laptopa? bo po wykonaniu skrypta jakos wydaje mi sie ze moj komputer odzyl i szybciej chodzi

OTL.Txt

Extras.Txt

log_usuwanie.txt

[Evil000]

Jeszcze jesli ktos mialby czas to chetnie prosilbym o zlikwidowanie niepotrzebnych rzeczy z mojego laptopa z gory dziekuje, bo i tak wielce mi kolego pomogles bo qooqle zlikwidowane i troche pamieci az sie uwolnilo

OTL_laptop.Txt

Extras_laptop.Txt

[picasso]

Ad kolego = jestem babką.

 

 

Pierwszy komp:

 

Czy przypadkiem nie wykonałeś skryptu więcej niż raz? To jest bez sensu, bo nie zostaną ponownie usunięte rzeczy już usunięte w pierwszym podejściu. Prezentowany tu log z wynikami usuwania mówi, że co takiego się tu stało, bo żaden obiekt nie został znaleziony w systemie ("not found"). W każdym razie ogólny raport z OTL potwierdza, że Qooqlle zostało usunięte. Finalizujemy temat:

 

1. W OTL uruchom Sprzątanie, co zlikwiduje z dysku kwarantannę OTL z Qooqlle oraz sam program OTL jako taki.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Wyciąg z listy zainstalowanych aplikacji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 26
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Foxit Reader" = Foxit Reader
"Gadu-Gadu 10" = Gadu-Gadu 10
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.7.0 (Full)

 

- Ask Toolbar usuń (to wygląda na jakiś odpadek)

- Pozostałe programy zaktualizuj i upewnij się że masz najnowszy Foxit. Flash Player jest tu w dwóch wariantach, wtyczka w Internet Explorer jest w starszej wersji 10. Szczegóły aktualizacyjne: INSTRUKCJE.

- (Opcjonalnie) proponuję wymianę ciężkiego GG10 programem alternatywnym. W temacie Darmowe komunikatory popatrz na opisy: AQQ, Kadu, WTW, Miranda.

 

 

 

Laptop:

 

Brak znaków infekcji i nie szczególnie jest tu czym się zajmować. Notuję tu szczątki po wirtualnych maszynach (VMware, VirtualBox). W Dzienniku zdarzeń jest męczony błąd:

 

Error - 2011-10-17 12:51:17 | Computer Name = Mati-Laptop | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi VMware USB Arbitration Service z powodu
 następującego błędu:   %%2

 

W OTL nie widać tej usługi, ale skoro błędy są, w rejestrze nadal musi być szczątkowy klucz VMUSBArbService.

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000012 - CC:\Program Files (x86)\VMware\VMware Workstation\x64\vsocklib.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000013 - CC:\Program Files (x86)\VMware\VMware Workstation\x64\vsocklib.dll File not found

 

Nie nastąpiło też prawidłowe wypięcie z łańcucha Winsock.

 

 

1. Korekta wyżej wymienionych, reset pliku HOSTS i czyszczenie lokalizacji tymczasowych. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Wykonaj skrypt.

 

:OTL
O2:64bit: - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab" (Reg Error: Key error.)
DRV:64bit: - [2011-08-15 14:32:10 | 000,146,736 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\VBoxNetAdp.sys -- (VBoxNetAdp)
[2011-09-20 22:45:50 | 000,000,000 | ---D | C] -- C:\Users\Mati\VirtualBox VMs
[2011-09-20 22:45:33 | 000,000,000 | ---D | C] -- C:\Users\Mati\.VirtualBox
[2011-09-20 22:29:23 | 000,000,000 | ---D | C] -- C:\Users\Mati\AppData\Local\VMware
[2011-09-20 22:29:18 | 000,000,000 | ---D | C] -- C:\Users\Mati\AppData\Roaming\VMware
[2011-09-20 22:28:55 | 000,038,512 | ---- | C] (VMware, Inc.) -- C:\Windows\SysNative\drivers\hcmon.sys
[2011-09-20 22:28:14 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\VMware
[2011-09-20 22:27:14 | 000,000,000 | ---D | C] -- C:\ProgramData\VMware
[2011-09-20 22:27:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\VMware
[2010-09-21 15:50:24 | 000,000,312 | ---- | M] () -- C:\Windows\Tasks\At1.job
 
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VMUSBArbService]
 
:Files
netsh winsock reset /C
 
:Commands
[resethosts]
[emptytemp]

 

Przedstaw tylko wyniki z przetwarzania skryptu. Pełnych logów już nie muszę oglądać.

 

2. Kolejny błąd z Dziennika zdarzeń:

 

Error - 2011-10-17 13:42:17 | Computer Name = Mati-Laptop | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Nie można wyodrębnić listy głównej innych firm z pliku cab automatycznej
 aktualizacji z: ,
 wystąpił błąd: Wymagany certyfikat jest poza okresem ważności, co wynika z weryfikacji
 bieżącego zegara systemowego lub sygnatury czasowej.  .

 

Naprawisz to za pomocą narzędzia Fix-it z artykułu: KB2328240. Na poprzednim komputerze też to zastosuj, bo jest ten sam błąd.

 

3. Zainstalowane programy:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java™ 6 Update 26 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java™ 6 Update 17
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Foxit Reader" = Foxit Reader
"Gadu-Gadu 10" = Gadu-Gadu 10
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.7.0 (Full)

 

Tak jak dla poprzedniego systemu: wykonać aktualizacje. Zaś Spybot - Search & Destroy odinstaluj całkowicie. Program przestarzały, jego rolę pełnią aktualnie nowoczesne antywirusy.

 

 

.

Edytowane 10 Grudnia 2011 przez picasso
10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso