Nieautoryzowane zmiany w przeglądarkach IE, FF i CHR

[dragonzo999]

Więc jak wyżej wymieniłem w przeglądarkach zachodzą zmiany pomimo ustawiania tak jak być powinno, po ponownym włączeniu znów jest źle

 

W FF domyślna przeglądarka zmienia się na gig-cośtam

W IE też coś jest poprzestawiane

W CHR mam ustawione otwieranie to na czym skończyłem ale jak zostawiam tylko zakładkę newtab przy zamykaniu to otwiera mi kurs.ru

 

@EDIT

Zaktualizowane logi

OTL:

http://www.wklej.org/id/829975/

 

Extras:

http://www.wklej.org/id/829976/

Pozdrawiam.

Edytowane 16 Września 2012 przez dragonzo999

[picasso]

Posługujesz się przestarzałym OTL by OldTimer - Version 3.2.55.0, sprzed poprawki na skan Firefox. Pobierz najnowszą wersję (KLIK) i zrób nowe logi. EDIT: Logi podmienione. uruchamiałeś jakiś skrypt do OTL = jaki / co zawierał? Ja tu widzę tylko przejęte preferencje, ale nie obiekt je przywracający. Zacznijmy od tego:

 

1. Przez Panel sterowania odinstaluj adware AutocompletePro. Przy okazji pozbądź się zbędnego Akamai NetSession Interface.

 

2. Akcja dla Google Chrome:

 

========== Chrome  ==========
 
CHR - homepage: "http://kurs.ru/index0.html"
 
CHR - Extension: AutocompletePro plugin for chrome = C:\Users\Scoter\AppData\Local\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk\1.0_0\

 

W Rozszerzeniach odmontuj AutocompletePro. Z listy stron startowych wymaż te ruskie wtręty. Poza tym, wyczyść całą historię.

 

3. Akcja dla Firefox:

 

========== FireFox ========== 
 
FF - prefs.js..browser.search.defaulturl: "http://www.gigabase.ru/search?clid=1&q="
FF - prefs.js..keyword.URL: "http://www.gigabase.ru/search?clid=1&q="
FF - user.js..browser.search.defaulturl: "http://www.gigabase.ru/search?clid=1&q="
FF - user.js..keyword.URL: "http://www.gigabase.ru/search?clid=1&q="

 

Otwórz przeglądarkę, w pasku adresów wpisz about:config, wyszukaj frazy browser.search.defaulturl + keyword.URL i z prawokliku zresetuj do poziomu domyślnego. Zamknij Firefox (nie może być uruchomiony) i skasuj z dysku plik:

 

C:\Users\Scoter\AppData\Roaming\mozilla\Firefox\Profiles\x4e4qph8.default\user.js

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2653012"
IE - HKU\S-1-5-21-755315819-2805220373-17049113-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://www.gigabase.ru/search?q={searchTerms}&clid=1"
IE - HKU\S-1-5-21-755315819-2805220373-17049113-1000\..\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}: "URL" = "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F"
IE - HKU\S-1-5-21-755315819-2805220373-17049113-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-755315819-2805220373-17049113-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2653012"
IE - HKU\S-1-5-21-755315819-2805220373-17049113-1000\..\SearchScopes\{c99fdc39-a1ae-4b24-8d71-e5274f8d7c54}: "URL" = "http://search.hotspotshield.com/g/results.php?c=s&q={searchTerms}"
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll File not found
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll File not found
FF - HKCU\Software\MozillaPlugins\@nsroblox.roblox.com/launcher: C:\Program Files\Roblox\Versions\version-21cdb2fff9fb4df2\\NPRobloxProxy.dll File not found
O2 - BHO: (no name) - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - No CLSID value found.
O4 - HKU\S-1-5-21-755315819-2805220373-17049113-1000..\Run: [ASRockOCTuner]  File not found
O4 - HKU\S-1-5-21-755315819-2805220373-17049113-1000..\Run: [fsm]  File not found
O8 - Extra context menu item: Download Link Using Mega Manager... - D:\Program Files\Megaupload\Mega Manager\mm_file.htm File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
SRV - File not found [Auto | Stopped] -- C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Scoter\AppData\Roaming\NVIDIA\HWAccess.sys -- (NVIDIAHWAccess)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Scoter\AppData\Local\Temp\cpuz130\cpuz_x32.sys -- (cpuz130)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ADIHdAud.sys -- (ADIHdAudAddService)
 
:Files
C:\Users\Scoter\AppData\Roaming\mozilla\firefox\profiles\x4e4qph8.default\searchplugins\daemon-search.xml
C:\Users\Scoter\AppData\Roaming\mozilla\firefox\profiles\x4e4qph8.default\searchplugins\search.xml
C:\Program Files\mozilla firefox\searchplugins\localstrike.xml
C:\Users\Scoter\AppData\Local\Temp*.html
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 5. Powiedz mi też co jest w tych folderach:

 

[2012-09-12 17:00:28 | 000,000,000 | ---D | C] -- C:\Windows\System32\sstates
[2012-09-12 17:00:28 | 000,000,000 | ---D | C] -- C:\Windows\System32\memcards
[2012-09-12 17:00:27 | 000,000,000 | ---D | C] -- C:\Windows\System32\logs
[2012-09-12 17:00:27 | 000,000,000 | ---D | C] -- C:\Windows\System32\inis

 

 

 

 

.

[dragonzo999]

Oto log z

OTL:

http://www.wklej.org/id/830089/

i z

Adwcleaner:

http://www.wklej.org/id/830073/

 

folder "sstates" i "memcards" są puste... w "logs" jest log z programu PCSX2... emulatora do gier z playstation... w "inis" to chyba ustawienia PCSX2'a więc zapewne każdy z wymienionych folderów jest od tego emulatora.

 

Jeszcze jedno...

 

... Z listy stron startowych wymaż te ruskie wtręty...

 

jak mam to zrobić ?

w ustawieniach internetowych mam czysto a w CHR nie mam tych stron które mógłbym usunąć

 

Kontynuuj, gdzie skończyłem(am) Więcej informacji <--- tą opcje mam

Otwórz konkretną stronę lub zestaw stron. Wybierz strony <--- a tam mam tylko http://www.google.com/

[dragonzo999]

Tutaj mam tego winowajcę (miałem)

 

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2011-04-16 03:32:58 | 000,001,016 | RHS- | C] () -- C:\Users\Scoter\ntuser.pol
[2010-09-11 17:19:34 | 000,000,414 | RHS- | C] () -- C:\ProgramData\ntuser.pol

 

dodam że po wykonaniu zalecanego skryptu w OTL i próbie dostania się do "user.js" musiałem znów szukać opcji "pokaż wszystkie foldery i pliki"...

coś ciągle zmienia ją na "ukryj..." z początku przygody z tym wirusem wydawało mi się że to te anty-wszystko programy mi przywracają te ustawienia

ale to chyba nie one

[picasso]

Załaduj do OTL mini skrypt poprawkowy o treści:

 

:OTL
O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\Scoter\AppData\Local\Akamai\netsession_win.exe" File not found

 

 

jak mam to zrobić ?

w ustawieniach internetowych mam czysto a w CHR nie mam tych stron które mógłbym usunąć

 

Ja nadal widzę to w logu z OTL:

 

========== Chrome  ==========
 
CHR - homepage: "http://kurs.ru/index0.html"
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}
CHR - homepage: "http://kurs.ru/index0.html"

 

vs.

 

Otwórz konkretną stronę lub zestaw stron. Wybierz strony http://www.google.com/

 

Zamknij Google Chrome. Otwórz do edycji w Notatniku plik C:\Users\Scoter\AppData\Local\Google\Chrome\User Data\Default\Preferences, wyszukaj adres kurs.ru, a jeśli znajdziesz wymaż lub zastąp Googlem. I czy czyściłeś Historię Google Chrome?

 

 

dodam że po wykonaniu zalecanego skryptu w OTL i próbie dostania się do "user.js"

 

Po wykonaniu skryptu OTL to już dawno miało nie być na dysku pliku user.js. Usuwanie tego pliku było zadane przed skryptem, plik jest niedomyślny, dorobił go program zewnętrzny (tu wręcz wynika, że adware gigabase.ru, które wprowadzało w nim preferencje). Po usunięciu nie odtwarza się sam z siebie. Aktualny log z OTL pokazuje sytuację, do której tu zmierzałam, czyli zupełny brak pliku:

 

FF - user.js - File not found

 

 

musiałem znów szukać opcji "pokaż wszystkie foldery i pliki"...

coś ciągle zmienia ją na "ukryj..." z początku przygody z tym wirusem wydawało mi się że to te anty-wszystko programy mi przywracają te ustawienia

 

Jeśli na pewno nie używałeś w międzyczasie opcji Sprzątanie w OTL (z powrotem rekonfiguruje opcje Widoku do domyślnych), to zrealizuj ten import rejestru: KLIK.

 

 

Tutaj mam tego winowajcę (miałem)

 

Nie wiem do czego zmierzasz... A same pliki ntuser.pol to: KLIK.

 

 

 

.

[dragonzo999]

1.Skrypt wykonałem

2. Nie polecam polecać cokolwiek robić w tym pliku...(chyba że to ja coś popsułem(zrobiłem kopie zapasową, edytowałem oryginał zmieniając kurs.ru na google w dwóch miejscach hompage i jeden w "dns_prefetching" ) poznikały mi ikonki rozszerzeń i skrótów... musiałem instalować rozszerzenia od nowa ([zero żalu,Jestem bardzo wdzięczny za całą oferowaną pomoc])

3.

Po wykonaniu skryptu OTL to...

Proszę o wybaczenie małe przekręcenie z mojej strony, wykonywałem punkt po punkcie

4. wykonałem FIX.REG

5.Jeśli to nie ntuser.pol przywracał kurs.ru to co w ogóle zapoczątkowało to wszystko ?

[picasso]

2. Nie polecam polecać cokolwiek robić w tym pliku...(chyba że to ja coś popsułem(zrobiłem kopie zapasową, edytowałem oryginał zmieniając kurs.ru na google w dwóch miejscach hompage i jeden w "dns_prefetching" ) poznikały mi ikonki rozszerzeń i skrótów... musiałem instalować rozszerzenia od nowa ([zero żalu,Jestem bardzo wdzięczny za całą oferowaną pomoc])

 

Plik ten edytowany był na forum wiele razy i nigdy nie wystąpił taki przypadek. Również w locie go edytuje program AdwCleaner nagminnie tu stosowany. Czy na pewno Google Chrome było zamknięte podczas tej akcji i żaden proces chrome.exe nie tkwił w tle? Google Chrome nie może być uruchomione podczas tej operacji, bo zmiany zostaną wyzerowane, to tak jak z plikiem prefs.js Firefox. I tylko homepage było do edycji, dns_prefetching nie ma celu (to jest cache uruchamianych stron). Założeniem jest, że poprawnie zedytowałeś ciągi i nie naruszyłeś czegoś dodatkowego (np. zamknięcia jakiejś linii).

 

 

5.Jeśli to nie ntuser.pol przywracał kurs.ru to co w ogóle zapoczątkowało to wszystko ?

 

Nie wiem. Jak mówiłam, widoczne były tylko zmodyfikowane preferencje w przeglądarkach, ale log nie sugeruje jaki instalator to zrobił.

 

 

4. wykonałem FIX.REG

 

Czy ustawienia ukrytych utrzymują się po restarcie?

 

 

 

.

[dragonzo999]

1. niepotrzebnie się spieszyłem... widocznie procesy się jeszcze domykały

2. tak utrzymują się... jeszcze takie pytanie czy powinienem widzieć półprzezroczysty plik desktop na pulpicie ?

 

To już będzie wszystko... mam nadzieje że już nigdy nie będę musiał pisać na tym forum dziękuje z całego serca

 

Pozdrawiam

[picasso]

Sfinalizuj czyszczenie:

 

1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. Sprzątanie przekonfiguruje opcje widoku (patrz niżej).

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

jeszcze takie pytanie czy powinienem widzieć półprzezroczysty plik desktop na pulpicie ?

 

Te pliki desktop.ini służą do nakładania polonizowanej nazwy "Pulpit" zamiast "Desktop" i specjalnej ikonki Pulpitu. Widać je, jeśli masz odznaczoną opcję Ukryj chronione pliki systemu operacyjnego. Cytuję:

 

 

Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym:

 

C:\Users\Konto użytkownika\Desktop

C:\Users\Public\Desktop

 

Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach.

 

 

 

 

.