Skocz do zawartości

Qooqlle - proszę o pomoc w usunięciu


Rekomendowane odpowiedzi

Witam serdecznie

 

Infekcje najprawdopodobniej złapałem, przez ściągnięty plik z torrent oraz zainstalowaniu zainfekowanego kodeka.

 

W Firefox standardowo podmienia folder download, stronę startowa na qooqlle.com, zapamiętywanie haseł oraz historii przeglądarki.

 

Blokuje uruchamianie programu CCleaner.

 

Bardzo proszę o pomoc w usunięciu tej infekcji.

 

checkup z Security Check:

 

Results of screen317's Security Check version 0.99.13

Windows XP Service Pack 2

Out of date service pack!!

Internet Explorer 6 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

ESET Smart Security

Antivirus up to date!

```````````````````````````````

Anti-malware/Other Utilities Check:

CCleaner (remove only)

Java 6 Update 26

Adobe Flash Player 10.3.181.14

Adobe Reader 9.4.5 - Polish

Out of date Adobe Reader installed!

Mozilla Firefox (x86 pl..)

Mozilla Thunderbird (3.1.11) Thunderbird Out of Date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

``````````End of Log````````````

OTL.Txt

Extras.Txt

Log z GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Jest tu wersja Qooqlle z potrójnym procesem, wersja ta charakteryzuje się killowaniem procesów (co wyjaśnia niemożność startu CCleaner). Do niedawna OTL nie przechodził przy tej wersji (nie dało się go uruchomić) i posługiwaliśmy się bratem OTS. W OTL zaszła pewna zmiana, która okazała się pomocna pod ten przypadek. Zauważyłam już w dwóch tematach z tą wersją Qooqlle, że OTL potrafi teraz startować przy tej trójce.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL 
O4 - HKLM..\Run: [csrs] C:\Documents and Settings\All Users\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O4 - HKLM..\Run: [svhost] C:\Program Files\Common Files\svhost.exe ()
O4 - HKLM..\Run: [winloqon] C:\Documents and Settings\All Users\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
FF - prefs.js..browser.search.selectedEngine: "qooqlle"
FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/"
FF - prefs.js..keyword.URL: "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q="
[2011-06-24 10:09:59 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Marcin\Dane aplikacji\Mozilla\Firefox\Profiles\tp6n5nt6.default\searchplugins\search.xml
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - No CLSID value found.
O3 - HKU\S-1-5-21-1390067357-1409082233-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab" (Reg Error: Key error.)
SRV - File not found [Auto | Stopped] --  -- (StarWindServiceAE)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Przejdź do Dodaj / Usuń programy i odinstaluj Vuze Remote Toolbar.

 

3. Wykonaj nowy log z OTL opcją Skanuj, nie potrzebuję już ani Extras ani GMER. Poproszę też o log trybu skanowanie z AD-Remover, który również pokaże mi konfigurację Google Chrome (w tej przeglądarce także zaszczepiło się Qooqlle).

 

 

 

.

Odnośnik do komentarza

Wykonałem podany skrypt, Firefox wygląda na wolny od infekcji.

 

Vuze Remonte Toolbar nie chce zniknąć z listy programów, podczas ponownej próby usunięcia wyskakuje komunikat "Could not open INSTALL.LOG file" przy wyszukiwaniu, nie ma takiego pliku odnoszącego się do Vuze.

 

Bardzo dziękuje na skrypt usunięcia infekcji, czekam na dalsze wskazówki, jeśli będą potrzebne.

OTL.Txt

Ad-Report-SCAN1.txt

Odnośnik do komentarza
Vuze Remonte Toolbar nie chce zniknąć z listy programów, podczas ponownej próby usunięcia wyskakuje komunikat "Could not open INSTALL.LOG file" przy wyszukiwaniu, nie ma takiego pliku odnoszącego się do Vuze.

 

Ręcznie to usuniemy.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1390067357-1409082233-839522115-1003\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1390067357-1409082233-839522115-1003\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Vuze_Remote Toolbar]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2504091]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E83ABF20-5578-4A13-87DD-563F60DB2EEE}]
 
:Files
C:\Program Files\Vuze_Remote

Klik w Wykonaj skrypt.

 

2. Zrób nowy log z OTL + AD-Remover w trybie skanu.

 

 

.

Odnośnik do komentarza

1. Ostatnia mikro korekta. Wrzuć do OTL skrypt o następującej zawartości:

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Toolbar]
[-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=-

2. Porządki po używanych narzędziach: Odinstaluj AD-Remover. Wykorzystaj opcję Sprzątanie w OTL, która zlikwiduje kwarantannę z Qooqlle oraz program OTL z dysku.

 

3. Należy czym prędzej skorygować okropnie niski poziom zabezpieczeń:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Obowiązkowa instalacja Service Pack 3 + Internet Explorer 8. Tak, IE również jest wymagany do aktualizacji, bez względu na używanie alternatyw. Z jego silnika korzystają w trybie cichym różne funkcje systemu. Po uzupełnieniu tych podstaw udaj się na stronę Windows Update i uzupełnij wszystkie krytyczne łatki wydane po SP3 (rok 2008).

 

4. Również software do aktualizacji (log z Security Check ma nieścisłości, to Flash jest przestarzały a nie Thunderbird, również to nie jest najnowszy Firefox):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{3248F0A8-6813-11D6-A77B-00B0D0150040}" = J2SE Runtime Environment 5.0 Update 4

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"KLiteCodecPack_is1" = K-Lite Codec Pack 5.1.0 (Basic)

"Mozilla Firefox 4.0.1 (x86 pl)" = Mozilla Firefox 4.0.1 (x86 pl)

"Skype_is1" = Skype 3.0

 

========== HKEY_USERS Uninstall List ==========

 

[HKEY_USERS\S-1-5-21-1390067357-1409082233-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Tlen.pl" = Tlen.pl

- Tę starszą Java możesz odinstalować, tylko najnowsza niech pozostanie. Do aktualizacji Firefox, Adobe Flash (w wersji Firefox i Internet Explorer) i Adobe Reader. Szczegóły aktualizacyjne: INSTRUKCJE.

- Komunikatory: to bardzo stary Skype, a gdyby Tlen miał być zamieniony czymś to proponuję WTW (opis w temacie Darmowe komunikatory).

- (Opcjonalnie) Można zaktualizować kodeki.

 

5. Na koniec obowiązkowo wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...