Problem z qooqlle

[zabojca1992]

Witam. Mam problem z tym robakiem, zainfekowana została przeglądarka Firefox. Po włączeniu komputera i odpaleniu przeglądarki stroną startową jest hxxp://www.qooqlle.com, standardowy search engine na pasku zmieniony jest na qooqlle, zmieniona jest czcionka przeglądarki oraz folder pobieranych plików. Zapewne IE też jest zainfekowany, jednak go nie używam. Prosiłbym o pomoc, załączam logi:

Extras.Txt

OTL.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-1820956918-3222200402-1983368281-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/"
FF - prefs.js..browser.search.selectedEngine: "qooqlle"
O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found.
O2:64bit: - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found.
O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found.
O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Readar_sl] C:\Users\user\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe ()
O4 - HKU\S-1-5-21-1820956918-3222200402-1983368281-1000..\Run: []  File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Wejdź do panelu usuwania programów i odinstaluj niepotrzebny sponsoring Ask Toolbar

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

 

 

[zabojca1992]

1. Zrobione. Log, jaki wyskoczył zaraz po restarcie komputera:

 

All processes killed

========== OTL ==========

HKU\S-1-5-21-1820956918-3222200402-1983368281-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!

Prefs.js: "qooqlle" removed from browser.search.selectedEngine

64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}\ deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{27B4851A-3207-45A2-B947-BE8AFE6163AB}\ not found.

64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}\ deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{27B4851A-3207-45A2-B947-BE8AFE6163AB}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Readar_sl deleted successfully.

C:\Users\user\AppData\Roaming\Readar_sl.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TunesHelper deleted successfully.

C:\ProgramData\TunesHelper.exe moved successfully.

Registry value HKEY_USERS\S-1-5-21-1820956918-3222200402-1983368281-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: All Users

 

User: Default

->Flash cache emptied: 41044 bytes

 

User: Default User

->Flash cache emptied: 0 bytes

 

User: Public

 

User: user

->Flash cache emptied: 2138319 bytes

 

Total Flash Files Cleaned = 2,00 mb

 

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Public

 

User: user

->Temp folder emptied: 941937454 bytes

->Temporary Internet Files folder emptied: 347287211 bytes

->Java cache emptied: 13561053 bytes

->FireFox cache emptied: 66982180 bytes

->Opera cache emptied: 52 bytes

->Flash cache emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 466944 bytes

%systemroot%\System32 .tmp files removed: 401462 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 14387486275 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67898 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 15 028,00 mb

 

 

OTL by OldTimer - Version 3.2.26.6 log created on 08282011_143327

 

Files\Folders moved on Reboot...

C:\Users\user\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

 

Registry entries deleted on Reboot...

 

2. Nie mogę odnaleźć go na liście zainstalowanych programów.

 

3. Zrobione.

 

P.S. qooqlle zniknęło z przeglądarki oraz wszystkie zmiany nim wywoływane.

Ad-Report-SCAN1.txt

OTL.Txt

[Landuss]

2. Nie mogę odnaleźć go na liście zainstalowanych programów.

 

Według loga extras powinien być widoczny na liście, ale jeśli tak to wykończ go za pomocą Ad-Remover z opcji Clean. Wykonaj po tym nowy log z Ad-Rmover.

[zabojca1992]

Logi z Ad-Removera po Cleanie oraz Scanie.

Ad-Report-CLEAN1.txt

Ad-Report-SCAN2.txt

[Landuss]

Ad-Remover wykończył Ask Toolbara i to by było na tyle. Wykonaj jeszcze drobnostki:

 

1. Użyj opcji Sprzątanie w OTL.

 

2. Zaktualizuj Java do najnowszej wersji: KLIK.

 

3. Opróżnij folder Przywracania systemu: KLIK.

[zabojca1992]

Dzięki wielkie za pomoc! Dziękuje i pozdrawiam