Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Zmiana strony startowej w firefoxie na qooqlle

nostromo1

Przez nostromo1
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Nie tylko infekcja qooqlle tu jest. Także przeniesiona z urządzenia przenośnego USB, w postaci pliku autorun.inf i fałszywego ukrytego "kosza" Recycled, w którym z pewnością nic dobrego nie ma. Czyli to wszystko tu będzie planowane na usuwanie. Dodatkowo, widzę że to mocno modyfikowany Windows, i nie do końca dokładnie = próbuje startować usługa Windows, której pozbawiono pliku. Tę wyłączę.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\autorun.inf
C:\Recycled
C:\Dokumenty i ustawienia\UserX\Dane aplikacji\Mozilla\Firefox\Profiles\pvvyc02p.default\searchplugins\search.xml
 
:OTL
O4 - HKLM..\Run: [GProton] C:\Dokumenty i ustawienia\All Users\GProton.exe ()
O33 - MountPoints2\{bae9a490-f3e6-11df-ac69-00c09f6ca07c}\Shell\Open(&0)\command - "" = E:\Recycled\ctfmon.exe -- File not found
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/"
FF - prefs.js..browser.search.selectedEngine: "qooqlle"
FF - prefs.js..browser.search.useDBForOrder: true
O4 - HKCU..\Run: [RecordNow!]  File not found
O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} "http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab" (Reg Error: Key error.)
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\alg]
"Start"=dword:00000004
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij proces przez Wykonaj skrypt. Komputer będzie restartował. Otrzymasz z tego log.

 

2. Wykonaj nowy zestaw logów z OTL opcją Skanuj. Załącz także log uzyskany z usuwania w punkcie 1.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wszystko zostało pomyślnie usunięte, ponadto benefit w odzyskaniu nieco miejsca na dysku (sprzątnięte pliki tymczasowe zajmowały 946MB)

 

1. W OTL wywołaj funkcję Sprzątanie.

 

2. Zabezpiecz system przed auto-wykonaniem autorun.inf przy udziale Panda USB Vaccine i opcji Computer Vaccination.

 

3. Uprzątnij stare Java za pomocą JavaRa i zaktualizuj do najnowszej wersji Java (JRE).

 

4. O ile Przywracanie systemu istnieje (modyfikowany Windows), wyczyść jego foldery: INSTRUKCJE.

 

Podsumuj co się dzieje z systemem.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

marekW

 

"skąd to się dostaje" = nie mam pewności. Może coś brzydkiego pobierają "systemem torrent" (tu przykłady na źródło w "kodekach": KLIK / KLIK). Wiadomo jak to jest z oduczeniem nie korzystania z podejrzanych źródeł.

"cóż to jest (jaki to rodzaj zagrożenia)" = nie wiem, nie mam próbki.

 

nostromo1

 

Skoro wszystko w porządku, temat zostanie zamknięty.

 

 

.

Odnośnik do komentarza
ichito

ichito

Opublikowano
Opublikowano

MarekW zwrócił słusznie uwagę na te infekcję...jest jej pełno na różnych forach i aż dziw skąd, bo wiadomości które podała Picasso to jedne z niewielu, jakie udało się znaleźć w sieci...poza tymi dotyczącymi konkretnych przypadków infekcji. Znalazłem jeszcze takie info

http://www.computer-...virus/#more-102

z którego wynika, że prawdopodobnie to kodeki lub torrenty są odpowiedzialne za tę infekcję, ale jest również info o stronie Qooqlle.com, która prawdopodobnie przekierowuje na zarażone strony bez naszego udziału. Możliwe, że to botnet

"The Qooqlle virus is still relatively new, and no one has definitively established what exactly it’s trying to do with all its redirects. It could be a Botnet attempting to turn your computer into one of its minions, it could provide third-party access to your hard drive, or maybe it’s just there to be a pest."

Inna sprawa, że jest strona Qooqlle.com, która reklamuje jakieś wycieczki, podróże...czy właśnie ta jest winna?...nie wiem. Lepiej omijać z daleka wszystkie podobne adresy.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
aż dziw skąd, bo wiadomości które podała Picasso to jedne z niewielu, jakie udało się znaleźć w sieci...

 

Tu należy zwrócić uwagę na manierę zatajania źródła od którego się zaczęło / techniki uników w opisach ze strony samych użytkowników. Tym bardziej, że są zagraniczne fora do walki z malware, które mają polisę odmowy pomocy przy wykrytych śladach "legalizowania" tudzież "krakersowania" w systemie oraz w ramach przygotowań do usuwania nakazują usuwanie nielegalnego oprogramowania + P2P. Są i tacy, co nie kojarzą faktów albo mają stępione wyczucie nadużywaniem torrentów, bo któżby tam podejrzewał kodeka o dobrze wszystkim znanej nazwie, a to sama w sobie mówiąc krótko głupota pobierać z torrentów coś co jest darmowe i ma stronę domową.

Tu jest bardzo wiele tematów na forum po których formie wiem lub mam podejrzenie jak się zaczęło, ale ani słowa nie ma o tym od samego użytkownika.

 

Druga sprawa: każda infekcja się tak zaczyna i mnie tu raczej nic nie dziwi, przy nowościach najpierw kosą jedzie po wszystkich forach (i analizujący wymyślają o co w tym wszystkim w ogóle chodzi) a dopiero potem (gdy już jest że tak się wyrażę za późno) informacji co niemiara. To co mnie natomiast dziwi to bardzo łatwy sposób usuwania tej infekcji i to jest dla mnie zastanawiające.

 

 

 

.

Odnośnik do komentarza
ichito

ichito

Opublikowano
Opublikowano

Tu jest bardzo wiele tematów na forum po których formie wiem lub mam podejrzenie jak się zaczęło, ale ani słowa nie ma o tym od samego użytkownika.

No cóż...nikt z "zarażonych" nie wyjawia przyczyny infekcji, bo możliwe, że nie chce się przyznać, jak bardzo jest "niefrasobliwy"...żeby nie powiedzieć bezmyślny...oczywiście bez urazy :)

To co mnie natomiast dziwi to bardzo łatwy sposób usuwania tej infekcji i to jest dla mnie zastanawiające.

Jak tak czytam te posty, to w większości infekcja ta polega na podmianie strony startowej i nie ma znaczenia przeglądarka...Firefox, Chrome chyba tu królują...czyżby tylko popularność miała znaczenie, czy mała ich odporność? A odnośnie usuwania...może to tylko "wprawki" i niedługo objawi się coś bardziej wrednego? Oby nie :)

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)
Jak tak czytam te posty, to w większości infekcja ta polega na podmianie strony startowej i nie ma znaczenia przeglądarka...Firefox, Chrome chyba tu królują...czyżby tylko popularność miała znaczenie, czy mała ich odporność

 

Podmiana strony startowej + wyszukiwarki. Dotychczas dotknięte wszystkie główne przeglądarki: IE, Firefox, Chrome i Opera (Safari nie widziałam, ale to margines w raportach). Jeśli użytkownik ma wszystkie w systemie, każda z nich otrzymuje ten bonus, infekcja ma "gotowe konfiguracje" do każdej z nich. Popularność wystąpień w danej przeglądarce to moim zdaniem przypadek wynikający tylko z tego co użytkownik stosuje. Przykładowo użytkownik zgłasza, że w Firefox mu się przekierowuje, ale w raportach widać że ma także w Internet Explorer (czego już nie zgłasza, bo nie używa tego browsera).

Edytowane przez picasso
Nikt więcej tu nie komentuje, toteż zamykam.
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...