Domovská stránka v IE

[Jasper TN]

Přeji krásný den,

včera mě tady zaujalo toto téma http://forum.viry.cz/viewtopic.php?f=13&t=129870. Před nedávnem jsem tady řešil stejný problém a to že při spuštění prohlížeče místo domovské stránky nbíhalo tohle

Kód: Vybrat vše

http://www.qvo6.com/?utm_source=b&utm_medium=wnf&from=wnf&uid=INTELXSSDSC2CT120A3XXXXXXXXXXXXXXXXXXX_CVMP2493002Z120BGN&ts=1365067574

V prohlížeči Chrome jsem se toho zbavil jeho reinstalací a protože log byl jinak při kontrole zde v pořádku tak jsem to již neřešil. Nicméně ten problém přetrvává v IE. Ne že bych ho používal ale vrtá mi to hlavou. Zkusil jsem návod dle posledního postu od cernohous13. Takže teď už vím odkud se mi to v PC vzalo. Způsobil to program pro vytvoření bootovacího FD "Win To Flash" který jsem použil pro instalaci OS neboť ani jeden z domácích ntb nemá optickou mechaniku. Ten exe jsem zkontroloval na virustotal s negativním výsledkem (0/46). Dle výsledku system look jsem našel ty soubory ale už nevidím ty zápisy v registrech. Dá se to nějak odstřelit ?
Předem děkuji za radu.

SystemLook 30.07.11 by jpshortstuff
Log created at 09:32 on 28/04/2013 by Tomáš
Administrator - Elevation successful
WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results.

========== filefind ==========

Searching for "*qvo6*"
C:\Users\Tomáš\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MQ6VX5HK\qvo6_com[1].htm --a---- 19898 bytes [05:07 28/04/2013] [05:07 28/04/2013] 121B75A489065889A46BDD87D996A23B
C:\Users\Tomáš\AppData\Roaming\Microsoft\Windows\Recent\qvo6.lnk --a---- 980 bytes [07:22 28/04/2013] [07:22 28/04/2013] BF0896329C32B14C761D5CF239318015
C:\Users\Tomáš\AppData\Roaming\Microsoft\Windows\Recent\wnf_ar_qvo6.exe.secure.lnk --a---- 1289 bytes [07:22 28/04/2013] [07:22 28/04/2013] 1F94FE964F138511ED4699DCE279A131
C:\Users\Tomáš\A_Install\WIN TO FLASH\ValueAdd\3rdParty\qvo6\wnf_ar_qvo6.exe.secure --a---- 93776 bytes [07:21 28/04/2013] [10:00 26/03/2013] 69E57B8ED78C3F65711D70E754A9DFBB

========== regfind ==========

Searching for "qvo6"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\wnf_ar_qvo6_RASAPI32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\wnf_ar_qvo6_RASMANCS]
[HKEY_LOCAL_MACHINE\SOFTWARE\qvo6Software]
[HKEY_LOCAL_MACHINE\SOFTWARE\qvo6Software\qvo6hp]

-= EOF =-

[cernohous13]

Zdravím,

Stáhni OTM z jednoho odkazu a rozbal nejlépe na plochu.
http://oldtimer.geekstogo.com/OTM.exe
http://www.itxassociates.com/OT-Tools/OTM.exe

Spusť program „OTM.exe“ (pro Vistu a Win7 – pravým a „Run As Administrator“).
Do okna pod žlutou čáru vlož celý text zeleným písmem ze „Scriptu“

Klikni na červené „Moveit!“

Při nabídce restartu „YES“
a log potom najdeš v C:\_OTM\MovedFiles\ - dej mi ho sem na kontrolu

Script OTM

Kód: Vybrat vše

:Commands
[emptytemp]
[emptyflash]
[emptyjava]
[clearallrestorepoints]

:Files
%windir%\system32\*.tmp.dll /s
%windir%\system32\SET*.tmp /s
%windir%\*.tmp /s
C:\Users\Tomáš\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MQ6VX5HK\qvo6_com[1].htm
C:\Users\Tomáš\AppData\Roaming\Microsoft\Windows\Recent\qvo6.lnk
C:\Users\Tomáš\AppData\Roaming\Microsoft\Windows\Recent\wnf_ar_qvo6.exe.secure.lnk
C:\Users\Tomáš\A_Install\WIN TO FLASH\ValueAdd\3rdParty\qvo6

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\wnf_ar_qvo6_RASAPI32]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\wnf_ar_qvo6_RASMANCS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\qvo6Software]
[-HKEY_LOCAL_MACHINE\SOFTWARE\qvo6Software\qvo6hp]

:Services

Pak proveď novou kontrolu SystemLookem

[Jasper TN]

Zdravím. Tady je log z OTM

All processes killed
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Tomáš
->Temp folder emptied: 3791 bytes
->Temporary Internet Files folder emptied: 592882 bytes
->Google Chrome cache emptied: 151841856 bytes
->Flash cache emptied: 492 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 6555 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 128 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 145,00 mb


[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Public

User: Tomáš
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYJAVA]

User: All Users

User: Default

User: Default User

User: Public

User: Tomáš

Total Java Files Cleaned = 0,00 mb


Restore point Set: OTM Restore Point
========== FILES ==========
File/Folder C:\Windows\system32\*.tmp.dll not found.
File/Folder C:\Windows\system32\SET*.tmp not found.
C:\Windows\assembly\NativeImages_v2.0.50727_32\Temp\ZAP9E41.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_32\Temp\ZAPAA81.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_32\Temp\ZAPD5D5.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\ZAP1DCD.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\ZAP21B3.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\ZAP5782.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\ZAP9414.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\ZAPE0DC.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\ZAPE291.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\ZAPE56E.tmp folder moved successfully.
C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\ZAPF814.tmp folder moved successfully.
File/Folder C:\Users\Tomáš\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MQ6VX5HK\qvo6_com[1].htmC:\Users\Tomáš\AppData\Roaming\Microsoft\Windows\Recent\qvo6.lnk not found.
C:\Users\Tomáš\AppData\Roaming\Microsoft\Windows\Recent\wnf_ar_qvo6.exe.secure.lnk moved successfully.
C:\Users\Tomáš\A_Install\WIN TO FLASH\ValueAdd\3rdParty\qvo6 folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\wnf_ar_qvo6_RASAPI32\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\wnf_ar_qvo6_RASMANCS\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\qvo6Software\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\qvo6Software\qvo6hp\ not found.
========== SERVICES/DRIVERS ==========

OTM by OldTimer - Version 3.1.21.0 log created on 04282013_100835

Files moved on Reboot...
C:\Users\Tomáš\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Tomáš\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp\dsiwmis.log scheduled to be moved on reboot.
C:\Windows\temp\FireFly(2013042806012579C).log moved successfully.
C:\Windows\temp\integratedoffice.exe_c2rdll(2013042806012579C).log moved successfully.
C:\Windows\temp\integratedoffice.exe_c2ruidll(2013042806012579C).log moved successfully.
C:\Windows\temp\integratedoffice.exe_streamserver(2013042806012579C).log moved successfully.
File move failed. C:\Windows\temp\ood_stream.x86.cs-cz.dat scheduled to be moved on reboot.
File move failed. C:\Windows\temp\ood_stream.x86.x-none.dat scheduled to be moved on reboot.
File move failed. C:\Windows\SysWow64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat scheduled to be moved on reboot.

Registry entries deleted on Reboot...

A tady výsledek kontroly system look

SystemLook 30.07.11 by jpshortstuff
Log created at 10:17 on 28/04/2013 by Tomáš
Administrator - Elevation successful
WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results.

========== filefind ==========

Searching for "*qvo6*"
C:\Users\Tomáš\AppData\Roaming\Microsoft\Windows\Recent\qvo6.lnk --a---- 980 bytes [07:22 28/04/2013] [07:22 28/04/2013] BF0896329C32B14C761D5CF239318015
C:\_OTM\MovedFiles\04282013_100835\C_Users\Tomáš\AppData\Roaming\Microsoft\Windows\Recent\wnf_ar_qvo6.exe.secure.lnk --a---- 1289 bytes [07:22 28/04/2013] [07:22 28/04/2013] 1F94FE964F138511ED4699DCE279A131
C:\_OTM\MovedFiles\04282013_100835\C_Users\Tomáš\A_Install\WIN TO FLASH\ValueAdd\3rdParty\qvo6\wnf_ar_qvo6.exe.secure --a---- 93776 bytes [07:21 28/04/2013] [10:00 26/03/2013] 69E57B8ED78C3F65711D70E754A9DFBB

========== regfind ==========

Searching for "qvo6"
No data found.

[cernohous13]

Spusť opět OTM -> CleanUp! - odinstaluje a vyčistí po sobě.

vyčisti Ccleanerem

Stáhni Ccleaner - http://www.slunecnice.cz/sw/ccleaner/
Při instalaci vyhodit fajfku u "Instalovat Yahoo! Toolbar" (pokud bude v nabídce)

zavřít Internetový prohlížeč a
spustit "Čistič" > "Spustit Ccleaner" - odstraní nepotřebné
spustit "Registry" > "Hledej problémy" > "Opravit vybrané problémy"
souhlas se zálohou registrů - opakovat dokud nebudou registry čisté.
spustit "Nástroje" > "Start" - tady můžeš zkusit deaktivovat procesy, které při spuštění nepotřebuješ (pokud by ti potom něco nechodilo, stejným způsobem je povolíš)
Návod:http://jnp.zive.cz/Clanky/Prirucka-do-k ... fault.aspx

Ten si můžeš nechat i na budoucí občasné čištění.

A měl bys mít čisto

[Jasper TN]

Obávám se že je ten hajzl odolnější než vypadá. Stále stejný stav a domovská stránka nejde změnit.
SystemLook 30.07.11 by jpshortstuff
Log created at 10:26 on 28/04/2013 by Tomáš
Administrator - Elevation successful
WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results.

========== filefind ==========

Searching for "*qvo6*"
C:\Users\Tomáš\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3FB8KZSN\qvo6_com[1].htm --a---- 19898 bytes [08:24 28/04/2013] [08:24 28/04/2013] 121B75A489065889A46BDD87D996A23B
C:\Users\Tomáš\AppData\Roaming\Microsoft\Windows\Recent\qvo6.lnk --a---- 980 bytes [07:22 28/04/2013] [07:22 28/04/2013] BF0896329C32B14C761D5CF239318015
C:\_OTM\MovedFiles\04282013_100835\C_Users\Tomáš\AppData\Roaming\Microsoft\Windows\Recent\wnf_ar_qvo6.exe.secure.lnk --a---- 1289 bytes [07:22 28/04/2013] [07:22 28/04/2013] 1F94FE964F138511ED4699DCE279A131
C:\_OTM\MovedFiles\04282013_100835\C_Users\Tomáš\A_Install\WIN TO FLASH\ValueAdd\3rdParty\qvo6\wnf_ar_qvo6.exe.secure --a---- 93776 bytes [07:21 28/04/2013] [10:00 26/03/2013] 69E57B8ED78C3F65711D70E754A9DFBB

========== regfind ==========

Searching for "qvo6"
No data found.

-= EOF =-

[cernohous13]

První dva řádky z nálezu najdeš a půjdou smazat?

Pokud jsi v OTM dal CleanUp! měly by být pryč, jinak smaž celou složku C:\_OTM\MovedFiles

[Jasper TN]

Nálezy smazat šlo. OTM je taky pryč. Hryzlo se to při restartu.

[cernohous13]

Současný stav po restartu

[Jasper TN]

Stav je stále stejný domovskou stránku nezměním.

Už jsem na to přišel Ta mrcha upravila cestu přímo v zástupci pro spuštění.

"C:\Program Files\Internet Explorer\iexplore.exe" http://www.qvo6.com/?utm_source=b&utm_m ... 1365067574

[cernohous13]

Stáhni AdwCleaner http://general-changelog-team.fr/fr/dow ... adwcleaner
Ulož nejlépe na plochu -> ukonči všechny programy -> spusť AdwCleaner -> klikni na Prohledat
Proběhne skenování a pak se objeví log, případně bude uložen na systémovém disku jako AdwCleaner[R?].txt, ten mi sem dej

[Jasper TN]

AdwCleaner nejde spustit. Má tady ještě jeho starší verzi která fungovala ale stav je stejný.

Beze jména.jpg (78.93 KiB) Zobrazeno 2045 x

Každopádně domovská stránka už funguje. Smáznul jsem tu cestu k cíli ve vlastnostech zástupce (viz edit mého předchozího příspěvku) a je klid.

[cernohous13]

OK, máme tedy ještě něco k řešení?

[Jasper TN]

Ne. Je vyřešeno. Děkuji za pomoc a přeji hezký zbytek studeného víkendu.

[cernohous13]

Nemáš zač - rádo se stalo a jsme tady i příště