ziomek139 Opublikowano 24 Stycznia 2011 Zgłoś Udostępnij Opublikowano 24 Stycznia 2011 Mam problem z qooqlle w Mozilla Firefox, z góry dzięki za wszelaką pomoc OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2011 Zgłoś Udostępnij Opublikowano 24 Stycznia 2011 Infekcja wchodzi z pokątnie pobraną paczką kodeków, spoza oficjalnego źródła (torrent). Nie tylko Firefox jest tym dotknięty, również Internet Explorer. Przy okazji będzie sprzątanie szczątków po innych śmieciarskich paskach narzędziowych oraz czyszczenie lokalizacji tymczasowych. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-2582384791-3638654878-457393965-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-2582384791-3638654878-457393965-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. [2010-11-25 12:02:52 | 000,000,935 | ---- | M] () -- C:\Users\ZIOM\AppData\Roaming\Mozilla\Firefox\Profiles\kxusl67o.default\searchplugins\conduit.xml [2010-06-16 20:02:09 | 000,002,059 | ---- | M] () -- C:\Users\ZIOM\AppData\Roaming\Mozilla\Firefox\Profiles\kxusl67o.default\searchplugins\daemon-search.xml [2011-01-22 17:33:40 | 000,001,860 | ---- | M] () -- C:\Users\ZIOM\AppData\Roaming\Mozilla\Firefox\Profiles\kxusl67o.default\searchplugins\search.xml :Commands [emptyflash] [emptytemp] Rozpocznij przez klik w opcję Wykonaj skrypt. System będzie restartował. Na koniec otrzymasz raport końcowy z usuwania. 2. Przejdź do apletu usuwania programów i odinstaluj sponsorów: DAEMON Tools Toolbar i eBay. 3. Do oceny: nowe logi wytworzone z OTL opcją Skanuj oraz log otrzymany z usuwania w punkcie 1. . Odnośnik do komentarza
ziomek139 Opublikowano 24 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2011 Wygląda jakby pomogło Dzięki :] Daje Logi OTL.Txt Extras.Txt LOG_RESTART.txt Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2011 Zgłoś Udostępnij Opublikowano 24 Stycznia 2011 Zadanie wykonane. 1. Została drobnostka po deinstalacji paska narzędziowego DAEMON Tools. Uruchom OTL i sekcji Własne opcje skanowania / skrypt wklej w nim tym razem: :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found Oczywiście: Wykonaj skrypt. To zadanie będzie błyskawiczne i bez restartu. Po ukończeniu operacji w OTL wywołaj Sprzątanie. 2. Zaktualizuj programy: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish Do unowocześnienia 32-bitowa wersja Java i Adobe Reader: INSTRUKCJE. 3. Na wszelki wypadek wykonaj pełny skan przez Malwarebytes' Anti-Malware. Jeśli coś zostanie znalezione, zaprezentuj raport. 4. Na koniec, gdy już wszystko będzie wyczyszczone i zainstalowane, opróżnij foldery Przywracania systemu: INSTRUKCJE. . Odnośnik do komentarza
ziomek139 Opublikowano 24 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2011 Wszystko ładnie i pięknie. Po instalowałem i działa wszystko program który został podany nic nie znalazł :] Mam jeszcze takie pytanie czy jeśli podczas "posiadania" tego qooqlle podłączałem urządzenia typu dysk zewnętrzny pendrive to one się zainfekowały(trza sformatować? i nie strach tego teraz podłączyć żeby znowu nie przeszło?) i jeśli jeszcze mógłbym się dowiedzieć jak na przyszłość naumieć się samemu rozpoznać co wykonać w tym OTL czy to wyższa szkołą jazdy i lepiej sobie odpuścić Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2011 Zgłoś Udostępnij Opublikowano 24 Stycznia 2011 am jeszcze takie pytanie czy jeśli podczas "posiadania" tego qooqlle podłączałem urządzenia typu dysk zewnętrzny pendrive to one się zainfekowały(trza sformatować? i nie strach tego teraz podłączyć żeby znowu nie przeszło?) To nie jest taki typ infekcji. Qooqlle atakuje konfiguracje przeglądarek internetowych, nie interesuje się dyskami zewnętrznymi. i jeśli jeszcze mógłbym się dowiedzieć jak na przyszłość naumieć się samemu rozpoznać co wykonać w tym OTL czy to wyższa szkołą jazdy i lepiej sobie odpuścić Nie jestem w stanie odpowiedzieć na to pytanie. Do rozpoznawania malware w raportach ani nie ma instrukcji (ciągle coś nowego wychodzi i analizujący sam "aktualizuje" swoją wiedzę), ani nie jest to zadanie do szybkiego wdrożenia (lata praktyki) i potrzebna bardzo dobra znajomość samego systemu Windows (w przeciwnym wypadku jak można odróżnić wpisy systemowe od innych typów i dobrać rozwiązanie = nie wszystko da się rozwiązać przez OTL, nie wszystko też jest w nim widzialne). . Odnośnik do komentarza
ziomek139 Opublikowano 24 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2011 (edytowane) Dzięki bardzo za wyczerpującą odpowiedź(o to właśnie mnie chodziło czy jest to do nauczenia jakiś kurs itp. czy wiedza zdobyta przez lata doświadczenia:)) Dziękuje jeszcze raz za rozwiązanie problemu. Pozdrawiam Edytowane 24 Stycznia 2011 przez picasso Temat rozwiązany. Zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi