majawidzewiak Opublikowano 15 Grudnia 2011 Zgłoś Udostępnij Opublikowano 15 Grudnia 2011 Witam. Mam problem z dobrze Wam znanym juz pewnie qooqlle. Wyswietla sie jako strona startowa, wiec chcialbym to usunac. Zalaczam logi. Prosze o pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2011 Zgłoś Udostępnij Opublikowano 15 Grudnia 2011 Infekcja Qooqlle została nabyta via lewa paczka z kodekami. Prócz tej infekcji, brak uwagi przy instalacjach i instalowanie wszystkiego jak leci (nie odznaczony sponsor), a w konsekwencji jest także kolekcja sponsoringowych pasków narzędziowych i wątpliwej reputacji wtyczka video vShare, która przekierowuje preferencje przeglądarek na startsear.ch. Ponadto, na Pulpicie masz plik o wadliwej nazwie, system nie widzi tego pliku i jest on niekasowalny normalną drogą: File not found -- C:\Documents and Settings\Maja\Pulpit\DŻEM 1. Przejdź do Dodaj / Usuń programy i odinstaluj: Ask Toolbar, Conduit Engine, PHPNukeEN Toolbar, vShare.tv plugin 1.3. Otwórz Firefox i w menedżerze rozszerzeń powtórz usuwanie tu wyliczonych. 2. Skrypt czyszczący adresujący procesy Qooqlle i obecność tego w przeglądarkach Firefox + IE oraz inne śmieci / wpisy puste. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=81fb20ea-2713-11e1-a72a-00138f58243a" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=bfie&s={searchTerms}&f=4" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKCU\..\URLSearchHook: {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Maja\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O8 - Extra context menu item: &Download All using 4shared Desktop - C:\Program Files\4shared Desktop\down_all.htm File not found O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) :Files C:\WINDOWS\rcx.dat C:\Documents and Settings\Maja\Dane aplikacji\rcx.dat C:\Documents and Settings\Maja\Dane aplikacji\Mozilla\Firefox\Profiles\v22gw2wk.default\searchplugins\conduit.xml C:\Documents and Settings\Maja\Dane aplikacji\Mozilla\Firefox\Profiles\v22gw2wk.default\searchplugins\search.xml C:\Documents and Settings\Maja\Dane aplikacji\Mozilla\Firefox\Profiles\v22gw2wk.default\searchplugins\startsear.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml C:\Program Files\mozilla firefox\searchplugins\fcmdSrchFxt.xml C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\Maja\Dane aplikacji\Babylon C:\Documents and Settings\Maja\Dane aplikacji\facemoods.com C:\Documents and Settings\Maja\Dane aplikacji\PriceGong del "\\?\C:\Documents and Settings\Maja\Pulpit\DŻEM " /C :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Maja\Ustawienia lokalne\Temp\is799009782\AInstaller.exe"=- :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany. Po restarcie automatycznie otworzy się log z wynikami usuwania. 3. Qooqlle przejęło także preferencje przeglądarki Google Chrome: ========== Chrome ========== CHR - default_search_provider: qooqlle ()CHR - default_search_provider: search_url = "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F"CHR - default_search_provider: suggest_url = Dostawca wyszukiwania w Google Chrome nie może być konfigurowany za pomocą skryptów OTL. Należy ręcznie wykonać rekonfigurację w Opcjach przeglądarki, wzorując się na temacie: KLIK. 4. Zrób nowy log z OTL opcją Skanuj (Extras po raz drugi już nie potrzebuję) oraz log z AD-Remover z opcji Scan. Dołącz także log z wynikami usuwania wygenerowany w punkcie 2. . Odnośnik do komentarza
majawidzewiak Opublikowano 15 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2011 Ask Toolbar ani w dodaj lub usun programy ani w firefox nie znalazlem. Natomiast problem z qooqlle rozwiazany. I z gory za to dziekuje. Zalaczam jeszcze wymagane przez Pania logi. Nie moge zalaczyc logu z wynikami, poniewaz wyskakuje komunikat ze nie mam uprawnien do zalaczania tego typu plikow wiec wklejam tutaj ten log: All processes killed ========== OTL ========== Prefs.js: "qooqlle" removed from browser.search.selectedEngine Prefs.js: "http://www.qooqlle.com/" removed from browser.startup.homepage HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully! HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully! HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully! HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully! HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully! Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Readar_sl deleted successfully. C:\Documents and Settings\Maja\Dane aplikacji\Readar_sl.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TunesHelper deleted successfully. C:\Documents and Settings\All Users\TunesHelper.exe moved successfully. Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&Download All using 4shared Desktop\ deleted successfully. Starting removal of ActiveX control {31435657-9980-0010-8000-00AA00389B71} C:\WINDOWS\Downloaded Program Files\wvc1dmo.inf moved successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{31435657-9980-0010-8000-00AA00389B71}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found. ========== FILES ========== C:\WINDOWS\rcx.dat moved successfully. C:\Documents and Settings\Maja\Dane aplikacji\rcx.dat moved successfully. C:\Documents and Settings\Maja\Dane aplikacji\Mozilla\Firefox\Profiles\v22gw2wk.default\searchplugins\conduit.xml moved successfully. C:\Documents and Settings\Maja\Dane aplikacji\Mozilla\Firefox\Profiles\v22gw2wk.default\searchplugins\search.xml moved successfully. C:\Documents and Settings\Maja\Dane aplikacji\Mozilla\Firefox\Profiles\v22gw2wk.default\searchplugins\startsear.xml moved successfully. C:\Program Files\mozilla firefox\searchplugins\babylon.xml moved successfully. C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml moved successfully. C:\Program Files\mozilla firefox\searchplugins\fcmdSrchFxt.xml moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\Babylon folder moved successfully. C:\Documents and Settings\Maja\Dane aplikacji\Babylon folder moved successfully. C:\Documents and Settings\Maja\Dane aplikacji\facemoods.com\facemoods folder moved successfully. C:\Documents and Settings\Maja\Dane aplikacji\facemoods.com folder moved successfully. C:\Documents and Settings\Maja\Dane aplikacji\PriceGong\Data folder moved successfully. C:\Documents and Settings\Maja\Dane aplikacji\PriceGong folder moved successfully. < del "\\?\C:\Documents and Settings\Maja\Pulpit\DŻEM " /C > C:\Documents and Settings\Maja\Moje dokumenty\Pobieranie\cmd.bat deleted successfully. C:\Documents and Settings\Maja\Moje dokumenty\Pobieranie\cmd.txt deleted successfully. ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\Maja\Ustawienia lokalne\Temp\is799009782\AInstaller.exe deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Maja ->Temp folder emptied: 11929548 bytes ->Temporary Internet Files folder emptied: 5101172 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 149244585 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 12006 bytes User: NetworkService ->Temp folder emptied: 425984 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2249206 bytes %systemroot%\System32 .tmp files removed: 2596 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 161,00 mb OTL by OldTimer - Version 3.2.31.0 log created on 12152011_200526 Files\Folders moved on Reboot... File\Folder C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temp\Perflib_Perfdata_468.dat not found! Registry entries deleted on Reboot... OTL.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2011 Zgłoś Udostępnij Opublikowano 15 Grudnia 2011 Nie moge zalaczyc logu z wynikami, poniewaz wyskakuje komunikat ze nie mam uprawnien do zalaczania tego typu plikow W zasadach działu jest napisane, iż w Załącznikach akceptuję tylko pliki o rozszerzeniu *.TXT. To co chcesz dołączać to *.LOG. Wystarczyło zmienić nazwę pliku, by się dołączył. Ask Toolbar ani w dodaj lub usun programy ani w firefox nie znalazlem. Ask Toolbar jest w systemie w postaci paska narzędziowego IE i uruchamia się wraz z systemem. Figuruje na liście zainstalowanych, widocznie wpis jest ukryty: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar Kolejna porcja zadań do wykonania: 1. Przeglądarka Google Chrome nie została prawidłowo skonfigurowana, nadal jest w niej Qooqlle jako dostawca wyszukiwania: ========== Chrome ========== CHR - default_search_provider: Google (Enabled)CHR - default_search_provider: search_url = "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F" Zauważ, że wyszukiwarka ma nazwę "Google", ale jej adres ma na końcu doklejone "qooqlle.com". Powtarzaj operację w konfiguracji Google Chrome. 2. Uruchom AD-Remover w trybie Clean, co zlikwiduje Ask Toolbar oraz inne wykryte śmieci. Wymagana drobna poprawka na wpisy, których AD-Remover nie usunie. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\02bbf348-f0bb-475b-add4-7245e4b39f02] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\13a43f02-05b5-46af-9631-5ce1f29da44d] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\56453ce1-930d-4ecf-aa3c-0b6ab9e0c429] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\6652d13c-1c88-4aaf-a78c-86a6b6a67e8f] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\9d57efb1-22a4-4554-a912-27a67492061c] Klik w Wykonaj skrypt. Tym razem będzie szybko bez restartu. 3. Ten wadliwy DŻEM nadal nie skasowany: File not found -- C:\Documents and Settings\Maja\Pulpit\DŻEM Usuń go za pomocą aplikacji Delete FXP Files. 4. Do oceny wystarczy mi tylko nowy log z AD-Remover z opcji Scan. . Odnośnik do komentarza
majawidzewiak Opublikowano 15 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2011 Wszystko wykonane. Ad-Report-SCAN2.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2011 Zgłoś Udostępnij Opublikowano 15 Grudnia 2011 (edytowane) 1. Jeszcze drobnostka, nie zauważyłam szczątka rozszerzenia Babylon w Chrome. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb] Klik w Wykonaj skrypt. 2. Uporządkuj po używanych narzędziach: Uruchom Sprzątanie w OTL, co skasuje z dysku OTL wraz z jego kwarantanną. Odinstaluj AD-Remover. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Wykonaj aktualizacje oprogramowania: INSTRUKCJE. W systemie masz następujące wersje: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 23"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5 . Edytowane 16 Stycznia 2012 przez picasso 16.01.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi