Skocz do zawartości

Problem z qooqlle


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Infekcja wchodzi z pokątnie pobraną paczką kodeków, spoza oficjalnego źródła (torrent). Nie tylko Firefox jest tym dotknięty, również Internet Explorer. Przy okazji będzie sprzątanie szczątków po innych śmieciarskich paskach narzędziowych oraz czyszczenie lokalizacji tymczasowych.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL 
IE - HKU\S-1-5-21-2582384791-3638654878-457393965-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/"
O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe ()
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-2582384791-3638654878-457393965-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
[2010-11-25 12:02:52 | 000,000,935 | ---- | M] () -- C:\Users\ZIOM\AppData\Roaming\Mozilla\Firefox\Profiles\kxusl67o.default\searchplugins\conduit.xml
[2010-06-16 20:02:09 | 000,002,059 | ---- | M] () -- C:\Users\ZIOM\AppData\Roaming\Mozilla\Firefox\Profiles\kxusl67o.default\searchplugins\daemon-search.xml
[2011-01-22 17:33:40 | 000,001,860 | ---- | M] () -- C:\Users\ZIOM\AppData\Roaming\Mozilla\Firefox\Profiles\kxusl67o.default\searchplugins\search.xml
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij przez klik w opcję Wykonaj skrypt. System będzie restartował. Na koniec otrzymasz raport końcowy z usuwania.

 

2. Przejdź do apletu usuwania programów i odinstaluj sponsorów: DAEMON Tools Toolbar i eBay.

 

3. Do oceny: nowe logi wytworzone z OTL opcją Skanuj oraz log otrzymany z usuwania w punkcie 1.

 

 

 

.

Odnośnik do komentarza

Zadanie wykonane.

 

1. Została drobnostka po deinstalacji paska narzędziowego DAEMON Tools. Uruchom OTL i sekcji Własne opcje skanowania / skrypt wklej w nim tym razem:

 

:OTL
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found

Oczywiście: Wykonaj skrypt. To zadanie będzie błyskawiczne i bez restartu. Po ukończeniu operacji w OTL wywołaj Sprzątanie.

 

2. Zaktualizuj programy:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java™ 6 Update 17

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish

Do unowocześnienia 32-bitowa wersja Java i Adobe Reader: INSTRUKCJE.

 

3. Na wszelki wypadek wykonaj pełny skan przez Malwarebytes' Anti-Malware. Jeśli coś zostanie znalezione, zaprezentuj raport.

 

4. Na koniec, gdy już wszystko będzie wyczyszczone i zainstalowane, opróżnij foldery Przywracania systemu: INSTRUKCJE.

 

 

 

 

.

Odnośnik do komentarza

Wszystko ładnie i pięknie. Po instalowałem i działa wszystko program który został podany nic nie znalazł :] Mam jeszcze takie pytanie czy jeśli podczas "posiadania" tego qooqlle podłączałem urządzenia typu dysk zewnętrzny pendrive to one się zainfekowały(trza sformatować? i nie strach tego teraz podłączyć żeby znowu nie przeszło?) i jeśli jeszcze mógłbym się dowiedzieć jak na przyszłość naumieć się samemu rozpoznać co wykonać w tym OTL czy to wyższa szkołą jazdy i lepiej sobie odpuścić

Odnośnik do komentarza
am jeszcze takie pytanie czy jeśli podczas "posiadania" tego qooqlle podłączałem urządzenia typu dysk zewnętrzny pendrive to one się zainfekowały(trza sformatować? i nie strach tego teraz podłączyć żeby znowu nie przeszło?)

 

To nie jest taki typ infekcji. Qooqlle atakuje konfiguracje przeglądarek internetowych, nie interesuje się dyskami zewnętrznymi.

 

i jeśli jeszcze mógłbym się dowiedzieć jak na przyszłość naumieć się samemu rozpoznać co wykonać w tym OTL czy to wyższa szkołą jazdy i lepiej sobie odpuścić

Nie jestem w stanie odpowiedzieć na to pytanie. Do rozpoznawania malware w raportach ani nie ma instrukcji (ciągle coś nowego wychodzi i analizujący sam "aktualizuje" swoją wiedzę), ani nie jest to zadanie do szybkiego wdrożenia (lata praktyki) i potrzebna bardzo dobra znajomość samego systemu Windows (w przeciwnym wypadku jak można odróżnić wpisy systemowe od innych typów i dobrać rozwiązanie = nie wszystko da się rozwiązać przez OTL, nie wszystko też jest w nim widzialne).

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...