Podmiana strony głównej przeglądarek na qvo6

[Libros]

Podczas instalacji pewnego innego programu podmieniło mi niestety podstępnie także strony startowe w przeglądarkach Chrome, FF, Operze i IE na jakieś nieznane mi ustrojstwo chyba typu infekcyjnego o nazwie Qvo6.com i ładuje mi się to teraz każdorazowo obok strony głównej Google, a w Chrome i IE tylko samo to.
Program ten usunąłem i wyczyściłem ślady w komputerze m.in. CCleanerem, ale tego niechcianego dodatku nie mogę i nie wiem jak się pozbyć.
Nie wiem czy to również nie narobiło mi tam jakichś szkód systemie i rejestrze ?
To prosiłbym bardzo sprawdzić.
Jak również oczywiście o pomoc w pozbyciu się całkowicie tego z systemu i przeglądarek pod kątem przede wszystkim tego obiektu Qvo6 + ewentualnie innych szkodliwych obiektów, które się tam wraz z tym zagnieździły.
Oprócz tego zainstalowało mi się tam coś o nazwie Desk 365 oraz Omiga Plus, które to obiekty na ile mogłem usunąłem wraz z czyszczeniem systemu, ale pozostałości mogą jeszcze być.

Widzę także, że na liście m.in w Revo Uninstaller jest taki obiekt o nazwie Wsys Control 1.0.0.2539, którego tam wcześniej nie było.
W Panelu sterowania > Dodaj lub usuń programy oraz w CCleanerze > Narzędzia > Odinstaluj programy też jest ten obiekt.
Podejrzewam, że przedostał się on tam razem z tym.
W Revo z prawokliku na plik > Otwórz wpis w rejestrze prowadzi on do klucza:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WsysControl
a w prawym panelu > wartość m.in. DisplayIcon ścieżka prowadzi do pliku na: C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eSafeSvc.exe
a więc pliku eSafe jakoby z tym związanego, którego usunięcie postuluje się np.: tutaj

Podaję bieżące logi z: OTL i Extras
oraz: TDSSKiller

Jeszcze raz - chodzi o Qvo6 i pozostałości po Desk 365, Omiga Plus, WsysControl + ewentualnie jeszcze czegoś co jest z tym związane. Poza tym o nic co nie jest z tym związane chyba, że to coś złośliwego lub infekcyjnego (jeśli tak proszę o info o tym).

[wojtas]

odinstaluj:
"WsysControl" = Wsys Control 1.0.0.2539

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXSP0812N_S00MJ10Y227270&ts=0
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXSP0812N_S00MJ10Y227270&ts=0
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXSP0812N_S00MJ10Y227270&ts=1373210066
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXSP0812N_S00MJ10Y227270&ts=1373210066
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXSP0812N_S00MJ10Y227270&ts=0
IE - HKU\S-1-5-21-1659004503-117609710-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXSP0812N_S00MJ10Y227270&ts=1373210066
IE - HKU\S-1-5-21-1659004503-117609710-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXSP0812N_S00MJ10Y227270&ts=1373210066
[2012-12-19 15:23:35 | 000,259,172 | ---- | M] () (No name found) -- C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\7g703lx7.default-1349812525234\extensions\jid0-k75TfRGfOXPHfEZmJ9cKu5eCgLc@jetpack.xpi
[2013-07-07 18:01:37 | 000,000,000 | ---D | C] -- C:\Documents and Settings\test\Dane aplikacji\337
[2013-07-07 18:01:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\test\Dane aplikacji\Omiga Plus
[2013-07-07 17:15:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\eSafe
[2013-07-07 17:14:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\test\Dane aplikacji\Desk 365

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Użyj AdwCleaner i kliknij w nim Usuń (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator)
Pokaż raport z niego

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzyła się po restarcie).

[Libros]

odinstaluj:
"WsysControl" = Wsys Control 1.0.0.2539

Odinstalowałem to w Revo Uninstaller w trybie zaawansowanym. OK.

Logi:
Raport z czyszczenia (wykonanego skryptu w OTL)

Raport a AdwCleaner-a

Nowy log z: OTL.txt i Extras.txt

Skomentuję na bieżąco.
W przeglądarkach Chrome, FF oraz Operze już wszystko OK. Tylko w IE 8 zamiast strony głównej Google wyświetla mi się pusta strona główna, a w pasku adresu mam about:blank.
Jak to zmienić, jak ustawić z powrotem na Google ?

W Operze jednak jak się jeszcze okazało po wklepaniu w systemową wyszukiwarkę frazy qvo6, że są jeszcze dwa obiekty z tym związane, jeden ma nazwę:

http%3A%2F%2Fwww.qvo6.com%2Ffavicon

, a drugi:

www.qvo6.com

w tej samej lokalizacji:
C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Opera\Opera\icons

A to dlatego, że faktycznie w Operze jeszcze prócz strony Google wczytuje się jeszcze nadal ten Qvo6.
Co należy z tym zrobić ? Czy do ręcznego usunięcia przez rightShift + prawoklik i Usuń ?

I jeszcze tak na przyszłość, bo korzystam z Avasta 8 Free Antivirus. Jak ustawić go aby wykrywał i ostrzegał przed wszelkiego rodzaju obiektami typu PUP (adware, spyware itp.) ?
Czy ma on w ogóle takie funkcje ?

[wojtas]

usuń ręcznie resztki do kosza..

Avast nie ma chyba takiej opcji..

[Libros]

Usunąłem te dwa obiekty do Kosza, a nawet całkowicie z Kosza je usunąłem. Potem przeczyściłem komp-a i rejestr CCleanerem wraz z cookies dla Opery oraz programem EFRC do dokładnego czyszczenia rejestru.
Ale w Operze wciąż obok Google ładuje mi się to Qvo6 o dziwo, a wpisując w asystenta wyszukiwania tę frazę okazuje się, że te dwa w tej samej lokalizacji (pokazałem to) wciąż i jakby na nowo tam są.

Co zatem ?
Może trzeba w OTL wcisnąć po prostu Sprzątanie i usunąć kwarantannę OTL czego jeszcze nie robiłem finalnie, a w AdwCleanerze zresztą wcisnąć też Odinstaluj ?

Może to dziwne, ale nie wiem jak ustawić Google w IE jako główną ?

Co do Avasta, tak chyba faktycznie nie ma on takiego osobnego modułu antyPUP, ani podobnych opcji.
Chociaż w jego osłonach dla ustawień domyślnych w Osłonie sieciowej jest tam domyślna opcja wykrywania PNP, a więc to jest chyba to samo.
Jednak żadnych komunikatów o takim wykryciu PUP nie było.

Jeśli nie Avast to czym, w jaki sposób mogę chronić i zabezpieczać się przed PUP, PNP i i.in. jeśli tego chcę ? To chyba dość istotne jest ?
Posiadam skaner MBAM Free, on wykrywa m.in. PUP, ale on jest na żądanie nie ma osłony rezydentnej on-line.

[wojtas]

spróbuj odinstalować całkowicie Opere.

Co do IE:
http://support.microsoft.com/kb/252464/pl

nie ma takiego skanera chyba, takie aplikacje instaluje się często przy instalacji innych programów ( Winamp itp ) więc trzeba patrzeć..

[Libros]

W porządku odinstaluję Operę, ale jak to zrobić bez utraty danych prywatnych i ustawień na których mi zależy ? Nie chcę ich na nowo konfigurować.
Czy po prostu w Dodaj/usuń programy i ponownie ściągnąć ?

IE - tak już dobrze.

[wojtas]

nie wiem czy jak zachowasz dane to nie zachowa się ten syf..

inaczej spróbujemy:

Do >SystemLook wklej:

:filefind
qvo6.*

:regfind
qvo6.*

Naciśnij Look i pokaż raport.

[Libros]

Więc to jest ten raport z SystemLook:

Kod: Zaznacz wszystko

SystemLook 30.07.11 by jpshortstuff
Log created at 20:32 on 12/07/2013 by test
Administrator - Elevation successful

========== filefind ==========

Searching for "qvo6.*"
No files found.

========== regfind ==========

Searching for "qvo6.*"
No data found.

-= EOF =-

Poza tym może warto spróbować reinstalacji bez danych, jeśli to tylko możliwe w Operze ? Jeśli tak to jak ?
Jeśli nie, a nie ma innych sposobów, no to pozostaje całkowita reinstalacja.

[wojtas]

http://my.opera.com/polski/forums/topic.dml?id=282996

[Libros]

Więc tak. Operę mam jako niedomyślną, tutaj ważną chyba. Lecz najnowszą.
Rozumiem, ze trzeba wykonać kopię niektórych katalogów Opery
Nas interesuje szczególnie katalog pamięci podręcznej chociaż nie wiem może właśnie nie bo tam jest ten Qvo6 ?

Dobrze, ale może zanim to, to chcę jeszcze coś innego zauważyć.
Otóż zauważyłem, że ten Qvo6 wyskakuje obok Google w Operze tylko jeśli odpalam ze skrótu w Menu Start. Podejrzałem jego Element docelowy i jest tam to:

Kod: Zaznacz wszystko

"C:\Program Files\Opera\opera.exe" http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXSP0812N_S00MJ10Y227270&ts=1373210066

Gdy zaś otwieram ze skrótu na Pulpicie - tego Qvo6 w Operze nie ma, tylko samo Google.
Tak samo jest z głównym plikiem opera.exe w katalogu programu.
Również jak klikam w tym skrócie w Menu Start i Znajdź element docelowy to jest to oczywiście:
C:\Program Files\Opera.

Zresztą widzę, że w Chrome i FF w Element docelowy też tak jest, tzn. po właściwej ścieżce jest ten ciąg od Qvo6, ale tylko w menu Start > Wszystkie programy.
W IE 8 natomiast nie.

A więc wygląda na to i może wystarczy usunąć to wszystko po opera.exe w tej ścieżce do skrótu i już ?

Tak, tylko wciąż chyba pozostają te dwa pliki w icons czyli katalogu pamięci podręcznej.
Dziwne przecież pamięć cache czyściłem Cleanerem.
No, ale może po tej modyfikacji już da się usunąć ręcznie tamte dwa ?

Edit:
Oki, usunąłem już te dopiski w Element docelowy w tych skrótach Opery, Chrome i FF, a także ręcznie te dwa obiekty w lokalizacji wskazanej przez wyszukiwarkę , dodatkowo przeczyściłem komputer czyścicielami oraz w OTL kliknąłem Sprzątanie , a w AdwCleanerze - Odinstaluj.
Po restarcie już nie ma śladu po tym widzę, a w Operze wyświetla się jako główna tylko Google.
Ostatecznie sprawa załatwiona.

Edit.
Hej odświeżam jednak jeszcze, bo okazało się że w regedit po wpisaniu w Znajdź fraz qvo6, desk 365, omiga plus i wsys znalazł on jeszcze kilka wpisów od tego. Rozumiem, że to już pozostałości są po tym, ale jak to usunać ?
Jeśli trzeba mogę wrzucić tu te obrazki ?

[wojtas]

usuń przez delete lub PPM i usuń

[Libros]

Tylko wcześniej tak na wszelki zrobię backup rejestru.

Dobrze rozumiem, ale jeszcze pokażę te wpisy bo nie jestem w 100 % pewien:
Qvo6, desk 365, omiga plus i omiga oraz wsys - tutaj i tutaj, oraz Qvo6 jeszcze - tutaj i tutaj

W znajdowaniu zaznaczyłem klucze, wartości jak i dane.
Czy jeśli usuwać to które z tych wartości bo kluczy tam nie ma i czy całe w prawym panelu PPM i Usuń ?
Natomiast te wartości od ścieżek do przeglądarek również usuwać, czy tylko PPM na wartość i Zmień nazwę ?
I wyciąć tam to wszystko po nazwie właściwej ?
Tylko zauważyłem, że dla ścieżek do przeglądarek opcja Zmień nazwę jest tam nieaktywna.
Swoją drogą w Element docelowy tych przeglądarek zmieniłem już te nazwy, a więc co tam jeszcze robią ??

A może należy to zrobić w menu Edycja > Modyfikuj i tam zmienić nazwę na właściwą ?

Edit:
A więc tak. Z tych wpisów z dwóch pierwszych linków usunąłem z PPM, a w tych z dwóch kolejnych linków po prostu wyciąłem to wszystko po "..." i już w Modyfikuj.
Czy teraz wszystko ok ?
Swoją drogą dziwne dlaczego nie zostało to usunięte w czyszczeniu ? Napisz.

[wojtas]

no bo w logach wszystkiego nie widać.

[Libros]

Fakt - nie pokazują wszystkiego, czy można domniemywać zatem, że jeszcze czegoś nie pokazały ?
Gdzie, hipotetycznie w jakich lokacjach ?

Chciałbym żebyś odniósł się do tego mojego usuwania - potwierdź to lub zaprzecz.

Doinstalowałem sobie też firewalla Comodo z modułem HIPS. Czy on + Avast będzie mnie skutecznie chronił przed ww. obiektami itp.

Ekh.. czy jeszcze tam jesteś ? Odpowiedz mi jeszcze na to proszę i już zmykam dobrze.