V9 - problem z usunięciem

[Piotrek123]

Witam. Od wczoraj mam problem z V9. Pojawia się jako strona startowa w przeglądarkach. W dodatku z dysku zaczęły znikać pliki. Bardzo proszę o pomoc.

OTL.Txt

Extras.Txt

[picasso]

Zadanie będzie podzielone na kilka etapów, a kolejność obowiązuje (w pierwszej kolejności musi być wykonane sprzątanie po antywirusach, przed skryptem OTL):

 

ANTYWIRUSY

 

1. Usuń szczątki Symantec i Avast za pomocą narzędzi Norton Removal Tool + Avast Uninstall Utility. Oba narzędzia zastosuj z poziomu Trybu awaryjnego Windows

 

2. Usuń nieprawidłowo odinstalowane sterowniki ArcaBit:

• Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zarządzaj połączeniami sieciowymi. W oknie połączeń z prawokliku na każde pobierasz Właściwości. W karcie Ogólne sprawdzasz jakich komponentów używa połączenie. Szukaj wpisów w rodzaju ABndis Driver, znalezione podświetl i odinstaluj.
  
• Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. Na liście "Sterowników niezgodnych z Plug and Play" wyszukaj pozycje związane z Arcabit, podświetl i odinstaluj.
  

3. Zresetuj system.

 

 

ADWARE

 

1. Adware v9 tworzy sfałszowane skróty LNK przeglądarek. W logu z OTL z nowo utworzonych widzę te, które cytuję poniżej. Usuń z Pulpitu / Menu Start wszystkie skróty przeglądarek, utwórz ręcznie jeden wybrany.

 

[2012-05-28 18:02:35 | 000,000,846 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2012-05-27 11:30:25 | 000,001,013 | ---- | M] () -- C:\Users\Piotr\Desktop\Launch Internet Explorer Browser.lnk

 

2. Deinstalacje adware:

• Przez Panel sterowania odinstaluj adware Browsers Protector.
  
• Google Chrome: w menedżerze rozszerzeń zlikwiduj StartSearch Video plug-in + Babylon Translator, w menedżerze wtyczek powyłączaj ich duplikaty, w zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Softonic) na cokolwiek innego, po tym Search the web (Softonic) usuń.
  
• Firefox: we wszystkich profilach w menedżerze dodatków usuń softonic.com + Winamp Toolbar
  

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Search Bar"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{08021A1C-BA68-463B-B3A3-2AD2D8CA60D0}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1B689B8F-1342-466E-8847-84BD239FD521}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
 
:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaUpdate\update.exe -- (AVUpdate)
SRV - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\Common\ArcaTasksService.exe -- (AVTasks2)
SRV - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaTools\arcabackup\ArcaBackupService.exe -- (AVBackup)
SRV - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe -- (ArcaRemoteService)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\ArcaBit\Common\ArcaBit.Core.LoggingService.exe -- (ArcaBit.Core.LoggingService)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe -- (ArcaBit.Core.Configurator)
SRV - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ArcaMainSV.exe -- (ABMainSV)
DRV - File not found [Kernel | System | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ABTDI.sys -- (ABTDI)
DRV - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ABFLT.sys -- (ABFLT)
[2010-02-18 16:28:33 | 000,000,000 | ---D | M] (ArcaBit Ext.) -- C:\Program Files\Mozilla Firefox\extensions\arcabit@www.arcabit.pl
O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-2920698771-2941063087-3419359482-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-2920698771-2941063087-3419359482-1000\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O4 - HKLM..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe File not found
O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found
O9 - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found
O9 - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

4. Zastosuj AdwCleaner z opcji Delete. Z tgo działania także powstanie log.

 

5. Wygeneruj nowy log z OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania OTL i AdwCleaner. Poza tym:

 

W dodatku z dysku zaczęły znikać pliki.

 

Objaśnij o co Ci chodzi, jakie pliki / skąd.

 

 

 

.

[Piotrek123]

Wszystkie punkty wykonane. Nie znalazłem żadnych wpisów o ABndis Driver i Arcabit.

 

Niestety, nadal przy uruchamianiu Firefoxa pojawia się dziwna zakładka V9. Screen: LINK.

 

Usunięte pliki znajdowały się na dysku C (duży folder o nazwie Szkoła, a w nim pliki tekstowe, prezentacje, obrazki itp).

 

W załączniku zamieszczam logi z usuwania OTL (rozszerzenie zmieniłem z log na txt z powodu braku uprawnień do dodawania pliku w takim formacie) i AdwCleaner oraz nowy log ze skanowania OTL.

05282012_211948.txt

AdwCleanerS1.txt

OTL.Txt

[picasso]

Śmietnisko przeczyszczone, zniknęły szczątki antywirusów oraz widzialne adware. W kwestii:

 

 

Niestety, nadal przy uruchamianiu Firefoxa pojawia się dziwna zakładka V9.

 

Na pewno usunąłeś ręcznie skróty LNK i zrobiłeś nowy do Firefox? Podaj skan dodatkowy, uruchom OTL i wszystkie opcje ustaw na Brak + Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

hklm\software\clients\startmenuinternet|command /rs

 

Klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw wynikowy log.

 

 

Usunięte pliki znajdowały się na dysku C (duży folder o nazwie Szkoła, a w nim pliki tekstowe, prezentacje, obrazki itp).

 

To raczej problem innego rodzaju, o ile ktoś omyłkowo tego nie skasował, może błędy dysku / bad sectory.

 

 

 

.

[Piotrek123]

Chyba faktycznie przeoczyłem kilka skrótów. Myślę, że teraz usunąłem wszystkie.

OTL.Txt

[picasso]

Problem stanowi rejestr, są skonfigurowane skróty w Menu Start, które uruchamiają wszystkie trzy przeglądarki z v9.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\chrome.exe\shell\open\command]
""="C:\Users\Piotr\AppData\Local\Google\Chrome\Application\chrome.exe"
[HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\shell\open\command]
""="C:\Program Files\Mozilla Firefox\firefox.exe"
[HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\shell\open\command]
""="C:\Program Files\Internet Explorer\iexplore.exe"

 

Klik w Wykonaj skrypt. Tym razem poleci ekspresem bez restartu.

 

2. Wystarczy do oceny tylko log z przetwarzania skryptu oraz jasne potwierdzenie z Twojej strony, że problem v9 jest nieaktualny.

 

 

 

.

[Piotrek123]

Wykonane, ale V9 nadal się uruchamia. W logu zmieniłem rozszerzenie pliku z log na txt.

05302012_080302.txt

[picasso]

W której przeglądarce i z którego skrótu uruchomionej? Jeden wpis dla Google Chrome się nie wykonał, ze względu na moją literówkę. Powtórka skryptu:

 

:Reg
[HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\chrome.exe\shell\open\command]
""="C:\Users\Piotr\AppData\Local\Google\Chrome\Application\chrome.exe"

 

.

[Piotrek123]

W której przeglądarce i z którego skrótu uruchomionej?

V9 pojawia się nadal w firefoxie uruchomionym z pliku: C:\Program files\Mozilla Firefox\Firefox.exe (sorry za ewentualne literówki - piszę ścieżkę z pamięci). Pozostałych przeglądarek nie sprawdzałem.

 

Jeden wpis dla Google Chrome się nie wykonał, ze względu na moją literówkę. Powtórka skryptu (...)

Poprawkę wykonam w piątek, gdyż dziś ani jutro nie będę miał dostępu do tamtego komputera.

[picasso]

V9 pojawia się nadal w firefoxie uruchomionym z pliku: C:\Program files\Mozilla Firefox\Firefox.exe

 

Czy nie jest to w tym momencie po prostu kwestia konfiguracji? Co jest ustawione jako strona startowa w opcjach Firefox? A jeśli v9, to czy proste przestawienie jest nieskuteczne?

[Adam123]

Stroną startową jest google. Ale razem z nią, uruchamia się po lewej stronie mała zakładka V9. Tak jak na screenie.

 

EDIT: Przez pomyłkę napisałem tego posta z konta brata.

[picasso]

Nie widzę w raportach punktu ładowania, zostały tu usunięte dwa podstawowe "tajne" miejsca skąd v9 inicjuje stronę startową (czyli: skróty LNK oraz komendy w rejestrze w sekcji StartMenuInternet). Skoro problem nadal ujawnia się w Firefox (ale sprawdź też IE + Google Chrome, ten ostatni dopiero po poprawce skryptem OTL jak omawiane) to:

 

1. Zweryfikuj jak zachowuje się Firefox w trybie diagnostycznym. Klawisz z flagą Windows + R i wklej komendę:

 

"C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode

 

2. Dodaj wyszukiwanie na frazę v9 w rejestrze. Uruchom SystemLook, w oknie wklej:

 

:regfind
v9

 

Klik w Look.

 

 

 

.

[Piotrek123]

Skrypt odnośnie Chrome poprawiony. W IE ani w Chrome v9 nie pojawia się. W Firefoxie też już go nie ma. Po prostu zamknąłem kartę i już się nie otwiera. Wcześniej zamknięcie karty v9 było niemożliwe.

Załączam log z SystemLooka.

SystemLook.txt

[picasso]

Czyli OK, zgadza się to z pobranymi przeze mnie danymi. Wyniki wyszukiwania w rejestrze są w 99% nieistotne, to nie są już obiekty od v9 jako takiego. Kończąc sprawę:

 

1. Drobny wpis w rozszerzeniach Google Chrome:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\dkdkpmmkgdbglmfmmmmehbkmnkopingb]
"path"="C:\Users\Piotr\AppData\Local\Google\Chrome\User Data\Default\Extensions\v9-toolbar.crx"

 

Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\dkdkpmmkgdbglmfmmmmehbkmnkopingb

 

Sprawdź czy jest obecny plik punktowany tym wpisem, w razie czego = kasacja.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Do nadrobienia masa aktualizacji systemowych + aplikacji: KLIK. Wg Twojej listy zainstalowanych ten system nie ma SP2 i IE9, oraz widać następujące wersje:

 

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19088)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 24
"{31BFEC6C-1F27-45B5-839C-BCBAE327993A}" = OpenOffice.org 3.0
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{FFFF6D5C-E2F1-4B40-BC89-8923312E89EB}}_is1" = ACE Mega CoDecS Pack
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Gadu-Gadu" = Gadu-Gadu 7.7
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)
"McAfee Security Scan" = McAfee Security Scan Plus

 

Prócz podstawowych aktualizacji są tu również zakreślone:

- McAfee Security Scan Plus: wątpię, by intencją było instalowanie tego. Prawdopodobne źródło to sponsoring paczek Adobe. Do deinstalacji.

- Kodeki: a kysz z tym potwornym starym ACE Mega CoDecS Pack. Szybko wykop to z dysku, stanowi to zagrożenie dla dewiacji powłoki explorer.exe. Pozostaw sobie tylko K-Lite Codec Pack (Basic), ale go zaktualizuj.

- Gadu: kolejne a kysz. Ta wersja jest niepełnosprawna, nie jest zdolna obsłużyć w pełni nowych cech własnej sieci i ma niski poziom bezpieczeństwa (brak szyfrowania). Pod uwagę alternatywy rozpisane w artykule Darmowe komunikatory, konkretnie: WTW, Kadu, AQQ, Miranda.

 

 

 

.