Infekcja qooqlle.com

[Ray]

Witam.

 

Ostatnio na moim komputerze zainstalowało się qooqlle. Zainfekowało mi wszystkie przeglądarki z których korzystam (Firefox, IE, Opera). Infekcja wdała się najprawdopodobniej po instalacji paczki kodeków załączonych do ściągniętego filmu. Odinstalowałem rzeczoną paczkę kodeków, a folder z filmem i paczką usunąłem, niestety nic to nie dało. Znalazłem informację że poskutkować powinno usunięcie qooqlle przez uruchom -> regedit, (start- > uruchom -> regedit -> edytuj -> szukaj -> qooqlle -> usunięcie z wyników po proawej stronie) lecz jednak to nie poskutkowało, dlatego też zwracam się z prośbą o pomoc tutaj.

 

Oto wymagane logi

 

OTL.Txt

Extras.Txt

GMER.txt

 

Z góry dziękuję za jakąkolwiek pomoc

[Landuss]

To bardzo prosta do usunięcia infekcja.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Games-Masters.com\CABAL Online (Europe)\GameGuard\dump_wmimmc.sys -- (dump_wmimmc)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Misiek\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132)
IE - HKU\S-1-5-21-1409082233-842925246-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/"
FF - prefs.js..browser.search.selectedEngine: "qooqlle"
FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/"
[2010-03-30 12:18:53 | 000,000,000 | ---D | M] (RadioBar Toolbar) -- C:\Documents and Settings\Misiek\Dane aplikacji\Mozilla\Firefox\Profiles\dbyenk8p.default\extensions\radiobar@toolbar
[2010-12-31 09:01:15 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Misiek\Dane aplikacji\Mozilla\Firefox\Profiles\dbyenk8p.default\searchplugins\search.xml
[2010-03-30 12:18:59 | 000,001,598 | ---- | M] () -- C:\Documents and Settings\Misiek\Dane aplikacji\Mozilla\Firefox\Profiles\dbyenk8p.default\searchplugins\web-search.xml
O4 - HKLM..\Run: [GProton] C:\Documents and Settings\All Users\GProton.exe ()
O4 - HKU\S-1-5-21-1409082233-842925246-682003330-1003..\Run: [PlayNC Launcher]  File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

[Ray]

Nowe Logi:

 

OTL.Txt

Extras.Txt

 

Oraz to co wyszkoczyło po restarcie komputera (wklejam w ten sposób ponieważ nie mogłem dodać tego jako załącznik)

http://wklej.org/id/447905/txt/

 

EDIT:

Nie wiem czy tak powinno być, ale po restarcie Opera nadal ładuje qooqlle jako stronę startową(inne przeglądarki są w porządku)

 

EDit po raz drugi

Przepraszam za wprowadzanie w błąd, ustawiłem standardową stronę startową opery i po restercie teraz działa normalnie

[Landuss]

Infekcja pomyślnie usunięta. Wykonaj jeszcze poniższe czynności.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Wyzeruj stan przywracania systemu: KLIK

 

3. Wykonaj obowiązkowe aktualizacje:

 

Windows XP Professional Edition Dodatek Service Pack. 1 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2800.1106)

"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 20

"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3.4 - Polish

Szczegóły w tym temacie: INSTRUKCJE.

 

 

 

[Ray]

Wszystko działa, dziękuję za szybką pomoc.