samoczynnie zmieniająca się str. startowa na qooqlle + logi

[ulak]

Witam,

Mam podobny problem i nie znam się za bardzo.
Tutaj sa moje logi
http://wklej.to/v5uym OTL
http://wklej.to/WNtIB Extras

Co mam wkleić w oknie własne opcje skanowania?

Z góry dziękuję za pomoc, pozdrawiam

[mateo8898]

Temat wydzielony.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
IE - HKU\S-1-5-21-1123561945-287218729-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qooqlle.com/
FF - prefs.js..network.proxy.backup.ftp: "127.0.0.1"
FF - prefs.js..network.proxy.backup.ftp_port: 9666
FF - prefs.js..network.proxy.backup.gopher: "127.0.0.1"
FF - prefs.js..network.proxy.backup.gopher_port: 9666
FF - prefs.js..network.proxy.backup.socks: "127.0.0.1"
FF - prefs.js..network.proxy.backup.socks_port: 9666
FF - prefs.js..network.proxy.backup.ssl: "127.0.0.1"
FF - prefs.js..network.proxy.backup.ssl_port: 9666
FF - prefs.js..network.proxy.ftp: "127.0.0.1"
FF - prefs.js..network.proxy.ftp_port: 9666
FF - prefs.js..network.proxy.gopher: "127.0.0.1"
FF - prefs.js..network.proxy.gopher_port: 9666
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 9666
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "127.0.0.1"
FF - prefs.js..network.proxy.socks_port: 9666
FF - prefs.js..network.proxy.ssl: "127.0.0.1"
FF - prefs.js..network.proxy.ssl_port: 9666
FF - prefs.js..network.proxy.type: 0
[2009-01-31 23:52:26 | 000,000,523 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\5vqqazzt.default\searchplugins\daemon-search.xml
[2011-05-16 18:40:50 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\5vqqazzt.default\searchplugins\search.xml
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKU\S-1-5-21-1123561945-287218729-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1123561945-287218729-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O3 - HKU\S-1-5-21-1123561945-287218729-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Właściciel\Dane aplikacji\Readar_sl.exe (Created with WinAutomation (http://www.WinAutomation.com))
O4 - HKLM..\Run: [SunJavaUpdateSched] File not found
O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe ()
O4 - HKU\S-1-5-21-1123561945-287218729-1177238915-1003..\Run: [AdobeBridge] File not found
O4 - HKU\S-1-5-21-1123561945-287218729-1177238915-1003..\Run: [Free Ram Optimizer] File not found
O4 - HKU\S-1-5-21-1123561945-287218729-1177238915-1003..\Run: [YouRipper] File not found
MsConfig - StartUpReg: AppleSyncNotifier - hkey= - key= - File not found
[2011-05-15 08:55:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Codec Pack
[2011-05-09 09:12:01 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL + brakujący log z GMER

[ulak]

Witam,

Dzięki śliczne , chyba podziałało, wyłączyłam dodatkowo przywracanie systemu i restart. qooqlle nie pojawiło się.
Oto pliki, o które prosisz:
http://wklej.to/TrfPs GMER - nie jestem pewna czy jest kompletny gdyż wyskoczył błąd win z prośba o wysłanie raportu błedów, Log GMER dało się jednak zapisać
http://wklej.to/H327S OTL.log
http://wklej.to/vjlhl OTL.log z usuwania
http://wklej.to/G8qhc Extras.log

[mateo8898]

Odinstaluj DAEMON Tools Toolbar

Coś nie wszystko się usunęło. Ten skrypt wykonaj w trybie awaryjnym. W OTL wklej:

:OTL
IE - HKU\S-1-5-21-1123561945-287218729-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
FF - prefs.js..network.proxy.backup.ftp: "127.0.0.1"
FF - prefs.js..network.proxy.backup.ftp_port: 9666
FF - prefs.js..network.proxy.backup.gopher: "127.0.0.1"
FF - prefs.js..network.proxy.backup.gopher_port: 9666
FF - prefs.js..network.proxy.backup.socks: "127.0.0.1"
FF - prefs.js..network.proxy.backup.socks_port: 9666
FF - prefs.js..network.proxy.backup.ssl: "127.0.0.1"
FF - prefs.js..network.proxy.backup.ssl_port: 9666
FF - prefs.js..network.proxy.ftp: "127.0.0.1"
FF - prefs.js..network.proxy.ftp_port: 9666
FF - prefs.js..network.proxy.gopher: "127.0.0.1"
FF - prefs.js..network.proxy.gopher_port: 9666
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 9666
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "127.0.0.1"
FF - prefs.js..network.proxy.socks_port: 9666
FF - prefs.js..network.proxy.ssl: "127.0.0.1"
FF - prefs.js..network.proxy.ssl_port: 9666
[2011-05-17 10:00:50 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\5vqqazzt.default\extensions\[email protected]
[2011-05-17 10:00:48 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\5vqqazzt.default\extensions\[email protected]
[2009-01-31 23:52:26 | 000,000,523 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\5vqqazzt.default\searchplugins\daemon-search.xml
[2011-05-17 09:46:27 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\5vqqazzt.default\searchplugins\search.xml
O4 - HKLM..\Run: [SunJavaUpdateSched] File not found
O4 - HKU\S-1-5-21-1123561945-287218729-1177238915-1003..\Run: [AdobeBridge] File not found
O4 - HKU\S-1-5-21-1123561945-287218729-1177238915-1003..\Run: [Free Ram Optimizer] File not found
O4 - HKU\S-1-5-21-1123561945-287218729-1177238915-1003..\Run: [YouRipper] File not found
[2011-05-09 09:12:01 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[ulak]

OTL z usuwania: http://wklej.to/6GwJU
OTL log http://wklej.to/My9Jo

[mateo8898]

Teraz poszło. W OTL wklej:

:OTL
O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
[2011-05-17 10:00:39 | 000,000,000 | ---D | C] -- C:\Program Files\DAEMON Tools Toolbar

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zaktualizuj Firefoksa do najnowszej wersji (Firefox Pomoc Sprawdź dostępność aktualizacji..)

[ulak]

Witam, (sorki dopiero teraz mam stałe łącze)

Dysk przeczyszczony, rejestr również kilkuktrotnie aż do wyniku nie znaleziono więcej.

Skanowanie Anti mailware znaleziono 8 zagrozeń.

LOG po usunięciu:

Kod: Zaznacz wszystko

Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Wersja bazy: 6724

Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 8.0.6001.18702

2011-05-30 22:08:53
mbam-log-2011-05-30 (22-08-53).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|)
Przeskanowano obiektów: 353809
Upłynęło: 1 godzin(y), 38 minut(y), 21 sekund(y)

Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 1
Zainfekowanych wartości rejestru: 2
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 5

Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> Quarantined and deleted successfully.

Zainfekowanych wartości rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MsXSLT (Spyware.Passwords.XGen) -> Value: MsXSLT -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\w32id (Spyware.OnlineGames) -> Value: w32id -> Quarantined and deleted successfully.

Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
c:\WINDOWS\system32\msxslt3.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\documents and settings\właściciel\ustawienia lokalne\dane aplikacji\Xenocode\Sandbox\Gygan\0.7.2.2\2011.02.08t02.43\Virtual\STUBEXE\8.0.1112\@programfiles@\gygan beta\Gygan.exe (Trojan.MSIL) -> Quarantined and deleted successfully.
c:\documents and settings\właściciel\ustawienia lokalne\Temp\0.4238106785848904.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
d:\trainings for programs\adobe ilustrator\ai.sjj.warez-bb.org\Keygen\Keygen\adobe-master-cs4-keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\msxslt.dat (Malware.Trace) -> Quarantined and deleted successfully.

[mateo8898]

W porządku, możesz jeszcze opróżnić kwarantannę Malwarebytes.

[ulak]

bardzo dziękuję za pomoc
pozdrawiam