toolbar uporczywie powraca

[mareksolak]

Mam właśnie taki uporczywy problem Dostępne tylko dla zarejestrowanych użytkowników jest to na wszystkich przeglądarkach więc zakładam że nie koniecznie jest to świeża infekcja a raczej źle wyczyszczony system
Usuwam wszystkie Dostępne tylko dla zarejestrowanych użytkowników i co tam jeszcze znajde i jest czysto a po restarcie wraca jak bumerang

[kominekl]

jest to na wszystkich przeglądarkach więc zakładam że nie koniecznie jest to świeża infekcja a raczej źle wyczyszczony system

To nie infekcja, lecz adware.

Usuwam wszystkie Dostępne tylko dla zarejestrowanych użytkowników i co tam jeszcze znajde i jest czysto a po restarcie wraca jak bumerang

To nie wystarczy .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.124\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.124\npGoogleUpdate3.dll (Google Inc.)
CHR - Extension: SweetIM for Facebook = C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\
CHR - Extension: SweetPacks Chrome Extension = C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj\1.0.0.1_0\
CHR - Extension: SweetIM for Facebook = C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\
CHR - Extension: SweetPacks Chrome Extension = C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj\1.0.0.1_0\

:Files
RECYCLER /alldrives
C:\Program Files\Google\Update
C:\WINDOWS\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL (oba), wykonane w ten sposób -> http://hotfix.pl/articles.php?article_id=143.

[mareksolak]

Pewnie nie potrzebne ale dla porządku Dostępne tylko dla zarejestrowanych użytkowników
AdwCleaner Dostępne tylko dla zarejestrowanych użytkowników usuneło więcej niż sie spodziewałem
TDSSKiller czysto więc wklejke sobie darowałem
ponowny skan OTL Dostępne tylko dla zarejestrowanych użytkowników prawie bez zmian , nawet ja widze kupe śmieci
Extras niestety nie mam - nie znam przyczyny dlaczego nie wyświetliło

[kominekl]

Pewnie nie potrzebne ale dla porządku Dostępne tylko dla zarejestrowanych użytkowników

Potrzebne. To log z usuwania .

AdwCleaner Dostępne tylko dla zarejestrowanych użytkowników usuneło więcej niż sie spodziewałem

To właśnie części tego adware. W ADWCleaner -> Uninstall .

rawie bez zmian , nawet ja widze kupe śmieci

Są zmiany spore . Wiele śmieci tu już nie ma. Większość to niezbędne pliki.

Extras niestety nie mam - nie znam przyczyny dlaczego nie wyświetliło

W sekcji -> Rejestr - Skan Dodatkowy, nie zaznaczyłeś opcji -> Użyj Filtrowania. Ten log już zbędny, więc nic się nie stało .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz cały

:OTL

IE - HKU\S-1-5-21-1409082233-1606980848-1177238915-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
[2013-01-09 19:14:37 | 000,000,000 | ---D | C] -- C:\Documents and Settings\User\Pulpit\tdsskiller

:Services
gupdate
gupdatem

:Files
RECYCLER /alldrives
C:\Documents and Settings\User\Pulpit\tdsskiller.zip
C:\Documents and Settings\User\Dane aplikacji\Ifusr

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[XMan]

Przeglądając Twoje logi nie widzę żadnego programu do czyszczenia komputera
Tak więc:
przeczyść komputer programem CCleaner.
U góry po lewej "Cleaner" na dole Analiza - Uruchom Cleaner
później "Rejestr" Skanuj by znaleźć problemy - Napraw zaznaczone problemy.
CCleanera używaj po częstym surfowaniu po internecie oraz po każdej deinstalacji programów i sterowników.

kliknij aby powiększyć:
Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników


Przeczyść komputer programem Eusing Free Registry Cleaner.
(dokładniej czyści rejestr, naprawia)
Wybierasz język / language / Polish.
Przewiń -> Skanuj rejestr -> Napraw rejestr.

Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

Podaję nie tylko jako radę w tym temacie ale również radę na przyszłość
Po użyciu p/w programów wrzuć logi o które prosi kominekl.

[mareksolak]

OTL Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Do czyszczenia rejestru używam jv16 Power Tools ale to jeszcze nie ten moment ponieważ Dostępne tylko dla zarejestrowanych użytkowników

FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
[2013-01-08 20:08:48 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Extensions
CHR - homepage: Dostępne tylko dla zarejestrowanych użytkowników{0C79FF72-4BC4-11E2-8D6D-0016E63BCC43}
CHR - default_search_provider: SweetIM Search (Enabled)
CHR - default_search_provider: search_url = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&crg=3.1010000.10011&barid={0C79FF72-4BC4-11E2-8D6D-0016E63BCC43}
CHR - default_search_provider: suggest_url =
CHR - homepage: Dostępne tylko dla zarejestrowanych użytkowników{0C79FF72-4BC4-11E2-8D6D-0016E63BCC43}

i nie chodzi o to że te wpisy "biją po oczach" tylko dlaczego po usunięciu ciągle wracają?

[kominekl]

FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""

To pliki wewnętrzne Firefox`a, powinny zniknąć potem, podczas czyszczenia rejestru, ale o tym na końcu.

[2013-01-08 20:08:48 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Extensions

To katalog rozszerzeń Firefox`a. Jego usuniecie spowoduje uszkodzenie programu.

CHR - default_search_provider: suggest_url =

To pusty wpis provider`a. Nie ma w tym nic złego.

CHR - homepage: Dostępne tylko dla zarejestrowanych użytkowników{0C79FF72-4BC4-11E2-8D6D-0016E63BCC43}
CHR - default_search_provider: SweetIM Search (Enabled)
CHR - default_search_provider: search_url = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&crg=3.1010000.10011&barid={0C79FF72-4BC4-11E2-8D6D-0016E63BCC43}
CHR - homepage: Dostępne tylko dla zarejestrowanych użytkowników{0C79FF72-4BC4-11E2-8D6D-0016E63BCC43}

Tutaj należy zmienić pewne ustawienia Chrome`a ręcznie, co też zaraz uczynimy. Konieczna zmiana strony startowej -> Dostępne tylko dla zarejestrowanych użytkowników i zmiana ustawień provider`a -> Dostępne tylko dla zarejestrowanych użytkowników.

i nie chodzi o to że te wpisy "biją po oczach" tylko dlaczego po usunięciu ciągle wracają?

Nie wracają. W ogóle ich nie usuwamy. OTL sobie z tym nie radzi w ten sposób. One mają inną specyfikę usuwania (oczywiście mówię tu o tych niepoprawnych).

Autoruns.

W Autoruns odznacz, a następnie usuń to co odznaczyłeś (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\System\CurrentControlSet\Services

ACDaemon
JavaQuickStarterService
Microsoft Office Groove Audit Service
MozillaMaintenance
odserv
ose
UleadBurningHelper

HKLM\Software\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance

Wszystko z frazą -> File Not Found.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

Logi.

Następnie podajesz nowe logi z OTL.

[mareksolak]

FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""

chyba to soble podaruje

[2013-01-08 20:08:48 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Extensions

To katalog rozszerzeń Firefox`a. Jego usuniecie spowoduje uszkodzenie programu.

a jednak FF nadal działa
chrome jest już historją i chyba był "spiritus movens"
na reszte szkoda czasu a jak sie robactwa namnoży to "butem po łbach" i frotmat - niby drastyczne ale o wiele szybciej
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
regedit troche odchudziłem ale nie wszystkie
power tools też swoje zrobił
tak że poprawa jest znaczna i ślicznie dziękuje za pomoc

[kominekl]

chyba to soble podaruje

Te wpisy na nic nie wpływają, więc zrobimy co trzeba pod koniec.

a jednak FF nadal działa

Działa, ale bez Niego nie ma rozszerzeń.

http://wklej.to/e65xQ

To nie mój skrypt został tu wykonany. Użyty tu skrypt wywalił katalog rozszerzeń.

na reszte szkoda czasu a jak sie robactwa namnoży to "butem po łbach" i frotmat - niby drastyczne ale o wiele szybciej

Szybciej, bo szybciej, ale to nie rozwiązanie lecz kapitulacja. Poza tym takowej reszty raczej tu już nie ma.

Autoruns.

W Autoruns nie wszystko wykonane (został chociażby SoundMan). Popraw.

regedit troche odchudziłem ale nie wszystkie

Jakie zabiegi przeprowadzono w Edytorze Rejestru?

power tools też swoje zrobił

Czyszczenie.

[mareksolak]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMan - karta dźwiękowa
zostaje , bo taka jest moja wola
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
- wszystko
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
- wszystko
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
-wszystko
HKLM\System\CurrentControlSet\Services

JavaQuickStarterService
MozillaMaintenance
odserv
ose
UleadBurningHelper

- reszta zostaje , w przypadku konieczności moge to wyłączyć w msconfig > usługi
HKLM\Software\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance
1 wpis - zostaje
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
wszystko

To nie mój skrypt został tu wykonany

- bo to był mój skrypt

Szybciej, bo szybciej, ale to nie rozwiązanie lecz kapitulacja.

- i dlatego ten ot , bo teraz mam odgnioty na ambicji
co zaś idzie o FF to usunięcie tego pustego wpisu nic nie zmieniło

[kominekl]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMan - karta dźwiękowa
zostaje , bo taka jest moja wola

Jeśli taka jest Twoja wola. Nie jest on potrzebny, no ale cóż.

- reszta zostaje , w przypadku konieczności moge to wyłączyć w msconfig > usługi

O dziwo - to nie jest to samo, ale jak chcesz.

1 wpis - zostaje

Poprosiłem o usunięcia tam wpisów, odnoszących się do plików których nie ma. Są to wpisy puste, a więc są one zbędne.

- bo to był mój skrypt

Jeśli Twoja wiedza na temat pisania skryptów jest na tyle duża, że sobie sam z tym poradzisz to nie wiem w jakim celu zgłosiłeś się do nas. Wierz mi skrypt, który napisałeś nie wprowadził tak naprawdę żadnej zmiany. Zgłaszając się do mnie, podejmuje odpowiedzialność za skrypty wykonywane pod moimi skrzydłami, wiec proszę nie wykonywać innych tym bardziej, ze to nie niecki i dmuchał.

- i dlatego ten ot , bo teraz mam odgnioty na ambicji

To nie o off topic, a stwierdzenie, że uważanie formatu za rozwiązanie problemu to zwykły objaw braku dostatecznej wiedzy umożliwiającej rozwiązanie problemu, oraz typowe lenistwo - chodzenie na łatwiznę. Aczkolwiek nie będziemy w temacie kontynuować tej dyskusji, w razie czego zapraszam prywatnie.

co zaś idzie o FF to usunięcie tego pustego wpisu nic nie zmieniło

Nic nie zmieniło, bo co miałoby to zmienić? Usuwasz pusty wpis, więc w jego wyniku powstaje pusty wpis, wiec to co było uprzednio, czyli dodatek do skryptu zupełnie zbędny, wydłuży czas działania skrypt, lecz niczego nie zmieni.

Logi.

W takim razie , skoro działania w Autoruns skończone podaj nowe logi z OTL - celem podjęcia czynności końcowych.