Qone8 - Wirus?


(velmasta) #1

Witam. Mam problem z Qone8. To "coś" wwaliło się do mojej przeglądarki i w żaden sposób nie idzie tego usunąć. Używam Chrome ale jest też na Firefoxie który mam jako 2 przeglądarke. Zawsze z takimi badziewiami radziłem sobie sam za pomocą Adwcleanera itp jednak ten jest wyjątkowo oporny bo po ściągnieciu jakiegokolwiek pliku exe np Adwcleaner , otl , i próbie odpalenia go wyskakuje komunikat "Ta aplikacja nie bedzie działac na twoim komputerze" pomimo ze nigdy wczesniej nie mialem takich problemów. Nie mogę w żaden sposób sprawdzić co jest nie tak bo nic nie działa. Pomóżcie 


(Atis) #2

Uruchom system w trybie awaryjnym z obsługą sieci.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1

OTL - Raport obowiązkowy:

http://forum.dobreprogramy.pl/temat/402063-analiza-i-dezynfekcja-zestaw-narzędzi-nieingerencyjnych/?p=2608679


(velmasta) #3

Extras : 

 

http://www.wklej.org/id/1320272/

 

OTL : 

 

http://www.wklej.org/id/1320274/


(Atis) #4

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
SRV - [2014-04-02 10:44:45 | 000,350,496 | ---- | M] () [Auto | Stopped] -- C:\Program Files (x86)\PacFunction\bin\utilPacFunction.exe -- (Util PacFunction)
SRV - [2014-04-02 10:17:06 | 000,350,496 | ---- | M] () [Auto | Stopped] -- C:\Program Files (x86)\PacFunction\updatePacFunction.exe -- (Update PacFunction)
SRV - [2014-03-31 05:23:12 | 000,688,240 | ---- | M] (Cherished Technololgy LIMITED) [Auto | Stopped] -- C:\ProgramData\IePluginService\PluginService.exe -- (IePluginService)
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1396384546&from=ild&uid=ST3500418AS_9VMKZ0QDXXXX9VMKZ0QD
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1396384546&from=ild&uid=ST3500418AS_9VMKZ0QDXXXX9VMKZ0QD&q={searchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1396384546&from=ild&uid=ST3500418AS_9VMKZ0QDXXXX9VMKZ0QD&q={searchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1396384546&from=ild&uid=ST3500418AS_9VMKZ0QDXXXX9VMKZ0QD
IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://www.qone8.com/web/?type=ds&ts=1396384546&from=ild&uid=ST3500418AS_9VMKZ0QDXXXX9VMKZ0QD&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1396384546&from=ild&uid=ST3500418AS_9VMKZ0QDXXXX9VMKZ0QD
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1396384546&from=ild&uid=ST3500418AS_9VMKZ0QDXXXX9VMKZ0QD&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1396384546&from=ild&uid=ST3500418AS_9VMKZ0QDXXXX9VMKZ0QD&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1396384546&from=ild&uid=ST3500418AS_9VMKZ0QDXXXX9VMKZ0QD
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://www.qone8.com/web/?type=ds&ts=1396384546&from=ild&uid=ST3500418AS_9VMKZ0QDXXXX9VMKZ0QD&q={searchTerms}
IE - HKU\S-1-5-21-3502538412-2727487491-2577525659-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1396384546&from=ild&uid=ST3500418AS_9VMKZ0QDXXXX9VMKZ0QD
IE - HKU\S-1-5-21-3502538412-2727487491-2577525659-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1396384546&from=ild&uid=ST3500418AS_9VMKZ0QDXXXX9VMKZ0QD
IE - HKU\S-1-5-21-3502538412-2727487491-2577525659-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://www.qone8.com/web/?type=ds&ts=1396384546&from=ild&uid=ST3500418AS_9VMKZ0QDXXXX9VMKZ0QD&q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "qone8"
FF - prefs.js..browser.search.selectedEngine: "qone8"
FF - prefs.js..browser.startup.homepage: "http://start.qone8.com/?type=hp&ts=1396384546&from=ild&uid=ST3500418AS_9VMKZ0QDXXXX9VMKZ0QD"
[2013-01-03 14:41:29 | 000,005,381 | ---- | M] () (No name found) -- C:\Users\pande\AppData\Roaming\mozilla\firefox\profiles\gu8jmqe4.default\extensions\50e5812178563@50e581217859c.com.xpi
[2013-01-03 14:53:06 | 000,005,396 | ---- | M] () (No name found) -- C:\Users\pande\AppData\Roaming\mozilla\firefox\profiles\gu8jmqe4.default\extensions\50e583bc2fde2@50e583bc2fe19.com.xpi
[2014-04-02 00:39:16 | 000,009,439 | ---- | M] () (No name found) -- C:\Users\pande\AppData\Roaming\mozilla\firefox\profiles\gu8jmqe4.default\extensions\{19854aff-7c07-4859-9831-cd028ac55dd0}.xpi
O2 - BHO: (IETabPage Class) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited)
O2 - BHO: (PacFunction) - {9aa72d95-59d7-4421-a02c-f93a1187a165} - C:\Program Files (x86)\PacFunction\PacFunctionbho.dll (PacFunction)
O4 - HKU\S-1-5-21-3502538412-2727487491-2577525659-1001..\Run: [Pokki] C:\Windows\system32\rundll32.exe "%LOCALAPPDATA%\Pokki\Engine\Launcher.dll",RunLaunchPlatform File not found
[2014-04-02 00:08:47 | 000,061,120 | ---- | C] (StdLib) -- C:\Windows\SysNative\drivers\wStLibG64.sys
[2014-04-01 22:37:09 | 000,000,000 | ---D | C] -- C:\Users\pande\AppData\Local\PriceMeterLiveUpdate
[2014-04-01 22:37:09 | 000,000,000 | ---D | C] -- C:\ProgramData\PriceMeterLiveUpdate
[2014-04-01 22:37:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PriceMeterLiveUpdate
[2014-04-01 22:37:06 | 000,000,000 | ---D | C] -- C:\Users\pande\AppData\Roaming\PriceMeterUpdater
[2014-04-01 22:37:03 | 000,000,000 | ---D | C] -- C:\Users\pande\AppData\Roaming\SupTab
[2014-04-01 22:37:03 | 000,000,000 | ---D | C] -- C:\ProgramData\IePluginService
[2014-04-01 22:37:02 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SupTab
[2014-04-01 22:36:56 | 000,000,000 | ---D | C] -- C:\ProgramData\WPM
[2014-04-01 22:35:11 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PacFunction
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.


(velmasta) #5

OTL : 

 

http://wklej.org/id/1320311/

 

Extras :

 

http://wklej.org/id/1320313/

 

raport z usuwania gdzies zaginął po restarcie


(Atis) #6

Wklej i kliknij Wykonaj skrypt:

:OTL
O4 - HKU\S-1-5-21-3502538412-2727487491-2577525659-1001..\RunOnce: [Application Restart #0] C:\Users\pande\AppData\Local\Pokki\Engine\pokki.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-client-side-phishing-detection --disable-sync --disable-breakpad --disable-bundled-ppapi-flash --disable-sync-tabs --disable-speech-input --disable-custom-jumplist --process-per-tab --debug-devtools-frontend="C:\Users\pande\AppData\Local\Pokki\Engine\inspector" --no-first-run --lang=en-US --disable-component-update --disable-prompt-on-repost --no-startup-window --disable-translate --disable-logging --disable-desktop-notifications --flag-switches-begin --flag-switches-end --restore-last-session File not found
[2014-04-02 13:19:28 | 000,000,000 | ---D | C] -- C:\AdwCleaner

Uruchom OTL i kliknij Sprzątanie.

Odinstaluj Java 7 Update 25.

Zainstaluj Java 7 Update 51 i Firefox 28

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish


(velmasta) #7

wszystko powyższe zrobione 

 

OTL: 

 

http://wklej.org/id/1320479/

 

EXTRAS :

 

http://wklej.org/id/1320480/


(Atis) #8

Nie widać nic szkodliwego.


(velmasta) #9

Dziękuję za pomoc ;]