Kamoris Opublikowano 13 Stycznia 2012 Zgłoś Udostępnij Opublikowano 13 Stycznia 2012 Witam! Instalowałem kiedyś kodeki do filmów i zgodziłem się na wpisanie czegoś do rejestru. Od tego czasu zawsze po restarcie komputera jako stronę startową widzę qooqle.com, mimo, że zmieniałem ją już wiele razy. Używam przeglądarki Google Chrome. Usuwają się także dodatki, które zostały zainstalowane do przeglądarki. Używam antywirusa Avast, ale on nic nie wykrywa. Logi: OTL.Txt Extras.Txt Pozdrawiam i z góry dziękuję za pomoc! Odnośnik do komentarza
picasso Opublikowano 13 Stycznia 2012 Zgłoś Udostępnij Opublikowano 13 Stycznia 2012 Owe "kodeki" z pewnością były z trefnego źródła. Ta infekcja wchodzi z paczkami torrent.... Kodeków nie pobiera się z torrent i innych dziwnych miejsc, tylko z oficjalnych stron domowych. Qooqlle jest ustawiane w nieskończoność, ponieważ pracują w tle procesy utrzymujące modyfikację. 1. Część pierwsza = usunięcie wpisów startowych Qooqle + jego konfiguracji z Firefox i IE, oraz wpisów pustych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" O2 - BHO: (IplexToALLPlayer) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - C:\POBRAN~1\WEEKEN~1.AVI\ALLPLA~1\Iplex\IPLEXT~1.DLL File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Readar_sl] C:\Users\user\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () O4 - HKU\S-1-5-21-3401141285-316028961-2376300976-1000..\Run: [ALLUpdate] "C:\Pobrane torrent\Weekend [2011][XviD-DVDRip] By Przemo.avi\ALLPlayer\ALLUpdate.exe" "sleep" File not found O4 - HKU\S-1-5-21-3401141285-316028961-2376300976-1000..\Run: [PlayNC Launcher] File not found O37 - HKU\S-1-5-21-3401141285-316028961-2376300976-1000\...exe [@ = exefile] -- Reg Error: Key error. File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Cześć druga = rekonfiguracja ręczna przeglądarki Google Chrome. Aktualnie jest ustawiona wyszukiwarka "Google", która ma doklejone w URL na końcu qooqlle: ========== Chrome ========== CHR - default_search_provider: Google (Enabled)CHR - default_search_provider: search_url = "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F"CHR - default_search_provider: suggest_url = Skrypty OTL nie mogę zmieniać domyślnego dostawcy wyszukiwania w Google Chrome. Należy udać się do Opcji i przeprowadzić proces tego typu: KLIK. Przypominam, wyszukiwarka pozornie nazywa się "Google". 3. Przy okazji, masz grupę błędów zgodności: Error - 2012-01-13 02:47:01 | Computer Name = user-PC | Source = Service Control Manager | ID = 7026Description = Nie mozna zaladowac nastepujacych sterowników startu rozruchowego lub systemowego: prodrv06 prohlp02 prosync1 sfhlp01 Error - 2012-01-13 10:35:41 | Computer Name = user-PC | Source = Application Popup | ID = 1060Description = Ladowanie sterownika \SystemRoot\SysWow64\drivers\prodrv06.sys zostalo zablokowane z powodu niezgodnosci z tym systemem. Skontaktuj sie z dostawca oprogramowania w celu uzyskania zgodnej wersji sterownika. Error - 2012-01-13 10:36:10 | Computer Name = user-PC | Source = Service Control Manager | ID = 7000Description = Nie mozna uruchomic uslugi atksgt z powodu nastepujacego bledu: %%577 Error - 2012-01-13 10:36:12 | Computer Name = user-PC | Source = Service Control Manager | ID = 7000Description = Nie mozna uruchomic uslugi lirsgt z powodu nastepujacego bledu: %%577 W systemie są zainstalowane niezgodne z system sterowniki zabezpieczeń StarForce i Tages. Odinstaluj sterowniki Tages posiłkując się paczką instalacyjną: KLIK. Kolejny usuwacz pod Starforce: KLIK. 4. Logi do prezentacji: nowy log z OTL zrobiony opcją Skanuj (Extras już nie potrzebuję po raz drugi) + dołącz log z wynikami usuwania z punktu 1. . Odnośnik do komentarza
Kamoris Opublikowano 13 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2012 Zastosowałem się do wszystkich zaleceń. Nie jestem pewien czy ze Starforce mi wyszło, ale to chyba zwykłemu użytkownikowi w niczym nie przeszkadza? Oto proszone logi: OTL.Txt Usuwanie.txt Za kilka dni napisze czy wszystko działa poprawnie i nie ma już żadnych problemów. Wielkie dzięki za pomoc! Pozdrawiam! Odnośnik do komentarza
picasso Opublikowano 13 Stycznia 2012 Zgłoś Udostępnij Opublikowano 13 Stycznia 2012 Za kilka dni napisze czy wszystko działa poprawnie i nie ma już żadnych problemów. Na pewno działa. Wszystko zostało usunięte. Nie jestem pewien czy ze Starforce mi wyszło, ale to chyba zwykłemu urzytkownikowi w niczym nie przeszkadza? To się nie wykonało, ale zlikwidujemy od ręki. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - [2003-10-10 15:06:26 | 000,062,720 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\windows\System32\drivers\prohlp02.sys -- (prohlp02) DRV - [2003-10-10 14:06:24 | 000,052,128 | ---- | M] (Protection Technology) [Kernel | System | Stopped] -- C:\windows\System32\drivers\prodrv06.sys -- (prodrv06) DRV - [2003-09-06 13:27:06 | 000,004,832 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\windows\System32\drivers\sfhlp01.sys -- (sfhlp01) DRV - [2003-09-06 13:22:08 | 000,006,944 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\windows\System32\drivers\prosync1.sys -- (prosync1) Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Gdy zadanie się ukończy, możesz użyć opcję Sprzątanie w OTL, kasującą kwarantannę OTL i OTL z dysku. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 3. Na wszelki wypadek przeskanuj system za pomocą Malwarebytes' Anti-Malware. Jeśli cokolwiek wykryje, przedstaw raport. . Odnośnik do komentarza
Kamoris Opublikowano 13 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2012 Wszystkie punkty wykonane. Anti-Malware nic nie wykrył. Wyczyściłem co miałem wyczyścić. Jeszcze raz wielkie dzięki! Pozdrawiam! Odnośnik do komentarza
picasso Opublikowano 13 Stycznia 2012 Zgłoś Udostępnij Opublikowano 13 Stycznia 2012 W porządku. Na koniec wykonaj aktualizacje oprogramowania: INSTRUKCJE. Na Twojej liście zainstalowanych widzę m.in. wersje: Internet Explorer (Version = 8.0.7601.17514) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 29"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.4.7 MUI"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin""Mozilla Firefox 5.0.1 (x86 pl)" = Mozilla Firefox 5.0.1 (x86 pl) ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-3401141285-316028961-2376300976-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"FileZilla Client" = FileZilla Client 3.5.1 Dla uwypuklenia: chodzi o 32-bitowe wersje Java i Adobe Flash Player (dla Internet Explorer). . Odnośnik do komentarza
Kamoris Opublikowano 14 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Stycznia 2012 Done Odnośnik do komentarza
Rekomendowane odpowiedzi