hultaj Opublikowano 21 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 21 Kwietnia 2011 Witam, Zdaję sobie sprawę, że to kolejny temat o tym "qooqlle" ale po przeczytaniu poprzednich i próbie usunięcia dziadostwa zgodnie z poprzednimi instrukcjami nic z tego nie wyszło. Uprzejmie proszę o pomoc... moje dane: System: Windows 7 Enterprise SP1 (legalny) Przeglądarka: Mozilla Firefox 3.6.16 Log z OTL1: OTL1 W opcjach skanowania użyłem zgodnie z jedną z instrukcji: %systemdrive%\*.* /md5start agp440.sys atapi.sys beep.sys cdrom.sys ndis.sys winlogon.exe userinit.exe /md5stop Log z OTL2 OTL2 Bez żadnych wpisów w polu skryptów. Extras z OTL: Extras Z góry dziękuję za czas poświęcony na przeczytanie i ewentualne podpowiedzi. Pozdrawiam HultaJ P.S. Dodam, że ta gnida zalęgła mi się po instalacji kodeków pobranych z torrentów (mam nauczkę). Odnośnik do komentarza
picasso Opublikowano 21 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 21 Kwietnia 2011 Zabrakło obowiązkowego loga z GMER. Użytkownicy z infekcją Qooqlle idą na niepożądane skróty, a ja zawsze sprawdzam pod kątem rootkitów system, mimo że Qooqlle to nie jest ten typ. Nie wolno zakładać, że jest tylko jedna infekcja. Skoro użytkownik był zdolny wpuścić jedną infekcję, może mieć ich X więcej zaczajonych. W opcjach skanowania użyłem zgodnie z jedną z instrukcji: Instrukcje na forum tu są jasne. Nie podaję do wklejania żadnych opcji. To co wklejasz to przestarzałe instrukcje (obliczania sum kontrolnych), bezmyślnie przejęte przez polskie fora na zasadzie podpatrzenia zachodnich. A zachód to już daleko w przodzie do tego co "wiedzą" u nas. Zdaję sobie sprawę, że to kolejny temat o tym "qooqlle" ale po przeczytaniu poprzednich i próbie usunięcia dziadostwa zgodnie z poprzednimi instrukcjami nic z tego nie wyszło. Instrukcje są unikatowe dla danego systemu, skrypty niepowtarzalne (i dopasowane do ścieżek konkretnego systemu), zawarte instrukcje często też wykraczają poza samo "Qooqlle". Przechodząc do usuwania tego co widzę: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [Readar_sl] C:\Users\hultaj\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () [2011.04.20 16:07:49 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Theorica Divx ;-) Codecs [2011.04.21 10:19:17 | 000,001,860 | ---- | M] () -- C:\Users\hultaj\AppData\Roaming\Mozilla\Firefox\Profiles\ju1l8o8f.default\searchplugins\search.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany. Otrzymasz log. 2. Do oceny: ów log z punktu 1 oraz nowe logi z OTL z opcji Skanuj. . Odnośnik do komentarza
hultaj Opublikowano 21 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 21 Kwietnia 2011 Już sobie poradziłem, przepraszam za zamieszanie... przywróciłem system sprzed kilku dni i działa poprawnie. Pozdrawiam i dziękuję za szybką reakcję. Odnośnik do komentarza
picasso Opublikowano 21 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 21 Kwietnia 2011 przywróciłem system sprzed kilku dni i działa poprawnie No cóż, można i tak. Tylko w mojej opinii akcja zupełnie nieproporcjonalna do usterki. Jak widać ze skryptu, wystarczyło usunąć tylko dwa procesy z Autostartu i jeden plik XML z dysku ... To jest prymitywna infekcja. Rozumiem, że ukończyliśmy rozmowę. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi