Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Kategoria: Kamery IP / Alarmy / Automatyka Bram
Montersi
Kategoria: Akumulatorki / Baterie / Ładowarki

Strona startowa "qvo6.com" - Log OTL

morowy 02 Kwi 2013 14:32
  • #1 02 Kwi 2013 14:32
    morowy
    Poziom 8  

    Witam.
    Po użyciu kilku program antywirusowych udało się pozbyć tego ustrojstwa, a utworzenie nowych skrótów do przeglądarek wizualnie załatwiło problem, ale w logu jest jeszcze widoczna fraza tamtej strony startowej: "qvo6.com". Prosiłbym o skrypt wykonawczy, żeby wyczyścić to już do końca.
    Dzięki.

  • Pomocny post
    #2 02 Kwi 2013 14:39
    Kolobos
    Spec od komputerów

    Do aktualizacji:
    Java(TM) 7 Update 5 (64-bit), wejdz na java.com przy pomocy IE 64bit
    Java 7 Update 15

    Odinstaluj:
    Adobe Reader 7.0.9 - Polish, zmien na Foxit: http://ninite.com/foxit/
    Spybot - Search & Destroy

    Zrob skan przy pomocy cureit oraz mbam.

    Uzyj AdwCleaner, opcja Delete.

    Wykonaj skrypt w OTL:

    :OTL
    IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=...esX128GBXM_DFQ0O0S901SE901A6098&ts=1364670239
    IE - HKU\S-1-5-21-3083450480-2439890555-996622392-1000\..\SearchScopes\{00D037E0-A668-4E5E-804B-1639548E322B}: "URL" = http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63263&p={searchTerms}
    FF - prefs.js..browser.search.defaultenginename: "qvo6"
    FF - prefs.js..browser.search.order.1: "qvo6"
    [2013-03-30 21:04:02 | 000,000,757 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\qvo6.xml

    :Reg
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

  • Pomocny post
    #3 02 Kwi 2013 14:47
    Acorus 20
    Spec od komputerów

    Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

    Cytat:
    :OTL
    IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=...esX128GBXM_DFQ0O0S901SE901A6098&ts=1364670239
    IE - HKU\S-1-5-21-3083450480-2439890555-996622392-1000\..\SearchScopes\{00D037E0-A668-4E5E-804B-1639548E322B}: "URL" = http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63263&p={searchTerms}
    FF - prefs.js..browser.search.defaultenginename: "qvo6"
    FF - prefs.js..browser.search.order.1: "qvo6"
    [2013-03-30 21:04:02 | 000,000,757 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\qvo6.xml
    [2013-02-28 12:58:31 | 000,000,000 | ---D | M] -- C:\Users\Happy\AppData\Roaming\EurekaLog
    @Alternate Data Stream - 5632 bytes -> C:\ProgramData:gs5sys
    @Alternate Data Stream - 1536 bytes -> C:\Users\Public\Documents\desktop.ini:gs5sys
    @Alternate Data Stream - 1536 bytes -> C:\Users\Happy\Documents\desktop.ini:gs5sys
    @Alternate Data Stream - 1536 bytes -> C:\Users\Happy\Desktop\desktop.ini:gs5sys
    @Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:4FC01C57

    :Commands
    [emptytemp]


    Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.
    Usuń Combofix i pozostałości po nim tym http://oldtimer.geekstogo.com/OTC.exe

  • #5 04 Sie 2013 19:50
    silvvester
    Poziom 24  

    Przyczyną jest zmodyfikowany parametr wywołania exe-ca. Przykład z mojego komputera, klik prawym przyciskiem na ikone skrótu firefox, klik właściwości, jeden rzut oka i widzimy że zamiast np c:\firefox.exe mamy zmodyfikowany skrót c:\firefox.exe "www.durerele xhyd7r47yhxbswhdbhew. Pomysłowo to zrobili, ostatnio robaka wsadzili w "harmonogram zadań" :)

  Szukaj w 4mln produktów
Przeglądaj produkty