Problem z qooqlle

[paweleczek]

Witam. Proszę o pomoc.

Widziałem na forum że już wielu osobom wdarło się "qooqlle", nie wiem jak go usunąć a dodatkowo odkąd mam qooqlle to nie mogę otworzyć OTL, Malwarebytes Anti-Malware. Udało mi się jedynie zrobić log z Gmera który dołączam. Byłbym bardzo wdzięczny jakby ktoś mi pomógł.

GMER 1.0.15.15641 - http://www.gmer.net

Rootkit quick scan 2011-08-12 14:34:37

Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 TOSHIBA_MK1637GSX rev.DL032C

Running: 4elqkx8i.exe; Driver: C:\Users\PAWE~1\AppData\Local\Temp\kwddrkog.sys

 

 

---- System - GMER 1.0.15 ----

 

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0x90AD3398]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

 

---- Devices - GMER 1.0.15 ----

 

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 855701F8

Device \Driver\atapi \Device\Ide\IdePort0 855701F8

Device \Driver\atapi \Device\Ide\IdePort1 855701F8

Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1 855701F8

Device \Driver\a1de841p \Device\Scsi\a1de841p1 8673E1F8

Device \Driver\a1de841p \Device\Scsi\a1de841p1Port2Path0Target0Lun0 8673E1F8

Device \FileSystem\Ntfs \Ntfs 855721F8

 

AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

 

---- EOF - GMER 1.0.15 ----

[picasso]

Log z GMER nie wystarcza, musi być również log ogólny, i jest napisane w zasadach, że jeśli:

 

 

nie mogę otworzyć OTL

 

.... podaje się logi alternatywne. W tym przypadku poproszę o raport z OTS.

 

 

 

.

[paweleczek]

udało mi się zrobić loga z OTL, załączam;)

OTL.Txt

[picasso]

Podany OTL jest niepełny - nie ma Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na Użyj filtrowania").

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/"
FF - prefs.js..keyword.URL: "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q="
O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O4 - HKLM..\Run: [svhost] C:\Program Files\Common Files\svhost.exe ()
O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O37 - HKU\S-1-5-21-4053186561-3484880729-1950775372-1001\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2011-08-12 12:03:44 | 000,001,860 | ---- | M] () -- C:\Users\Paweł\AppData\Roaming\Mozilla\Firefox\Profiles\h9rwp6ma.default\searchplugins\search.xml
[2011-04-06 21:49:51 | 000,001,583 | ---- | M] () -- C:\Users\Paweł\AppData\Roaming\Mozilla\Firefox\Profiles\h9rwp6ma.default\searchplugins\web-search.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. powinien automatycznie otworzyć się log z wynikami.

 

2. Przejdź do Panelu sterowania do apletu usuwania aplikacji i odinstaluj śmieci sponsoringowe: Ask Toolbar, DAEMON Tools Toolbar.

 

3. Wytwarzasz nowy log z OTL opcją Skanuj (przypominam: Extras) oraz log z AD-Remover trybu skanowania. Dorzuć też log wygenerowany z usuwania w punkcie 1.

 

 

 

 

.

[paweleczek]

Zrobiłem tak jak mówiłeś ale po wpisaniu skryptu nie utworzyło mi żadnego loga. Wrzucam logi po późniejszym skanowaniu. Co dalej?

Extras1.txt

OTL1.txt

Ad-Report-SCAN.txt

[picasso]

Zadanie się po prostu nie wykonało, dlatego nie ma loga. Nie bez kozery dawałam (apropos mówiłeś, jestem kobietą) do uruchomienia OTS, którego ten wariant infekcji Qooqlle nie blokuje.

 

1. Pobierz narzędzie OTS. Uruchom je i w oknie Paste Fix Here wklej:

 

[Registry - Safe List]
 -> C:\Users\Paweł\AppData\Roaming\Mozilla\Firefox\Profiles\h9rwp6ma.default\prefs.js
YN -> browser.search.selectedEngine -> "qooqlle"
YN -> browser.startup.homepage -> "http://www.qooqlle.com/"
YN -> keyword.URL -> "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q="
[Custom Items]
:Files
C:\ProgramData\csrs.exe
C:\ProgramData\winloqon.exe
C:\Program Files\Common Files\svhost.exe
C:\Users\Paweł\AppData\Roaming\Mozilla\Firefox\Profiles\h9rwp6ma.default\searchplugins\search.xml
C:\Users\Paweł\AppData\Roaming\Mozilla\Firefox\Profiles\h9rwp6ma.default\searchplugins\web-search.xml
C:\Program Files\mozilla firefox\plugins\NPAskSBr.dll
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"csrs"=-
"svhost"=-
"winloqon"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Search bar"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]
[-HKEY_LOCAL_MACHINE\Software\Conduit]
[-HKEY_CURRENT_USER\Software\Conduit]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}]
[-HKEY_CURRENT_USER\Software\Classes\.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}]
[-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}]
:end
[Empty Temp Folders]
[EmptyFlash]
 

Rozpocznij usuwanie przyciskiem Run Fix. Nastąpi restart, po nim otrzymasz log z usuwania.

 

2. Wygeneruj nowy log z OTL (już będzie działać narzędzie). Dorzuć log z wynikami usuwania z OTS.

 

 

 

 

.

[paweleczek]

Przepraszam za to "mówiłeś" nie wiedziałem;)

Po usuwaniu OTS mam uruchomić ten skrypt co wcześniej podałaś w OTL dobrze rozumiem?

A co jeśli po usuwaniu w OTS nie pojawia się log?

[picasso]

A co jeśli po usuwaniu w OTS nie pojawia się log?

 

Szukaj raportu w katalogu C:\_OTS (a jeśli OTS uruchamiany z innego dysku niż C, to korespondująco szukaj tego folderu na innym dysku).

 

 

Po usuwaniu OTS mam uruchomić ten skrypt co wcześniej podałaś w OTL dobrze rozumiem?

 

Nie! Masz uruchomić OTL tylko do skanu: nic nie wklejać nigdzie i tylko klik w Skanuj.

 

 

 

.

[paweleczek]

już nie wiem co robić;/ po działaniach w OTS wyświetliło czy uruchomić ponownie komputer klikam "yes" i nic się nie dzieje. Żadnego logu nigdzie nie mam, a po skanowaniu w OTL też nie pojawia się log.

[picasso]

po działaniach w OTS wyświetliło czy uruchomić ponownie komputer klikam "yes" i nic się nie dzieje.

 

To go ręcznie zresetuj. I dopiero po restarcie zrób log z OTL.

[paweleczek]

Ok zrobiłem tak jak mówiłaś oto logi.

OTL2.txt

[picasso]

Nic z tego. Procesy Qooqlle wesoło w tle hulają, żadne narzędzie nic kompletnie nie zrobiło (widocznie zablokowane przez Qooqlle). Kolejna próba:

 

1. Zastartuj do Trybu awaryjnego Windows (loguj się na swoje konto a nie wbudowane Administrator).

 

2. Uruchom OTS i przepuść w nim skrypt, który do OTS podawałam (nie pomyl skryptów).

 

3. Jeśli powyższe się uda, zastartuj normalnie do Windows i wytwórz nowy log z OTL opcją Skanuj.

 

Gdy to zawiedzie, zmienię używane narzędzia.

 

 

 

.

[paweleczek]

ok zrobione;) mam już log z OTS i logi po skanowaniu OTL

 

Dziękuję Ci bardzo jesteś Wielka! wszystko już działa tak jak trzeba;)

OTL3.txt

OTS log.txt

[picasso]

Nareszcie, bydlątko zostało usunięte. Teraz same przyjemne akcje na widoku.

 

1. Drobniutka poprawka, usunięcie dwóch pustych wpisów. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt.

 

:OTL
O4 - HKLM..\Run: [svhost]  File not found
O4 - HKU\S-1-5-21-4053186561-3484880729-1950775372-1001..\Run: [ALLUpdate]  File not found

Akcja poleci ekspresem i bez restartu.

 

2. Uporządkuj po używanych narzędziach: odinstaluj AD-Remover oraz uruchom Sprzątanie w OTL (co usunie z dysku wszystkie kwarantanny + narzędzia OTL/OTS).

 

3. Ważne aktualizacje (pod kątem łatania luk):

 

 An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall]
{26A24AE4-039D-4CA4-87B4-2F83216017FF} = Java™ 6 Update 26
{AC76BA86-7AD7-1033-7B44-A94000000001} = Adobe Reader 9.4.5
7-Zip = 7-Zip 4.65
Adobe Flash Player ActiveX = Adobe Flash Player 10 ActiveX
Adobe Flash Player Plugin = Adobe Flash Player 10 Plugin
Adobe Shockwave Player = Adobe Shockwave Player 11.5
FileZilla Client = FileZilla Client 3.3.4.1

System w ogóle nieaktualizowany (brak Service Pack 1 i Internet Explorer 9), a pozostałe zakreślone aplikacje należy zainstalować w najnowszych wersjach: INSTRUKCJE.

 

4. Po przeprowadzeniu prac (de)instalacyjnych wyczyść lokalizacje tymczasowe (TFC - Temp Cleaner) + foldery Przywracania systemu (INSTRUKCJE).

 

Po wykonaniu wszystkiego (bez wykrętów) zgłoś się tu z potwierdzeniem, że akcje są wykonane.

 

 

 

.

[paweleczek]

Hmmm mam problem z service packiem nie wiem, które mam ściągnąć z tej listy (screen niżej)

[picasso]

System 32-bit, toteż plik: windows6.1-KB976932-X86.exe. Pozostałe to wersje 64-bit, symbole (pod debuger) oraz pełna DVD z wszystkim jak leci.

[paweleczek]

ok wszystko zrobione;) dzięki wielkie jeszcze raz;)