suchy400 Opublikowano 19 Września 2011 Zgłoś Udostępnij Opublikowano 19 Września 2011 Proszę was o pomoc w usunięciu tego syfu, z góry dziękuje. Oto załączniki: Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Września 2011 Zgłoś Udostępnij Opublikowano 19 Września 2011 Użytkownicy zainfekowani Qooqlle idą po najmniejszej linii oporu = dostarczają tylko jeden typ logów, a w zasadach działu jest napisane, że obowiązkowo dostarcza się log z GMER (pod kątem weryfikacji rootkit). Prócz infekcji Qooqlle masz porażającą ilość śmieci (paski narzędziowe i inne adware). 1. Usuwanie wstępne Qooqlle z rekonfiguracją Firefox i IE + usuwanie wpisów pustych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-09-19 19:42:37 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\w9g26itg.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\user\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKCU..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found O4 - HKCU..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found O4 - HKCU..\Run: [PCSpeedUp] "C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe" File not found O4 - Startup: C:\Documents and Settings\user\Menu Start\Programy\Autostart\Rejestracja FIFA 11.lnk = File not found O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 File not found O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe File not found O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab" (Reg Error: Key error.) SRV - File not found [On_Demand | Stopped] -- -- (rpcapd) SRV - File not found [Auto | Stopped] -- -- (EraserSvc11010) Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 2. Qooqlle zmodyfikowało również wyszukiwarkę Google Chrome: CHR - default_search_provider: qooqlle ()CHR - default_search_provider: search_url = "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F" Nie można tego typu wpisu usuwać za pomocą OTL, bo jest wpisem domyślnym. Należy wejść do Opcji Google Chrome i ręcznie skonfigurować wyszukiwarkę, bazując na tym temacie: KLIK. 3. Odinstaluj przez Dodaj / Usuń programy: Akamai NetSession Interface, Ask Toolbar, AutocompletePro, Babylon toolbar, MediaBar, BrotherSoft Extreme Toolbar, Conduit Engine, DigitalPowered Toolbar, Free_Lunch_Design Toolbar, My Web Search (MyWebFace), SFT_eng7 Toolbar, Soft32 Toolbar, Softonic-Polska_ Toolbar, vShare Plugin, Winamp Toolbar Wejdź do rozszerzeń Firefox i również powyszukuj z powyższej kolekcji do deinstalacji. 4. Wykonaj nowe logi do oceny: OTL z opcji Skanuj (nie potrzebuję już Extras) + AD-Remover z opcji Scan. Dołącz też log z wynikami usuwania pozyskany w punkcie 1. . Odnośnik do komentarza
suchy400 Opublikowano 19 Września 2011 Autor Zgłoś Udostępnij Opublikowano 19 Września 2011 Tutaj są nowe logi, ale tego loga z wynikami nie mogę załączyć nie wiem dlaczego. OTL.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 19 Września 2011 Zgłoś Udostępnij Opublikowano 19 Września 2011 Tutaj są nowe logi, ale tego loga z wynikami nie mogę załączyć nie wiem dlaczego. Zasady działu (wątpię, że przeczytałeś) mówią, że Załączniki akceptują tylko format *.TXT. A to jest *.LOG. Wystarczy zmienić nazwę pliku, by się doczepiło. 1. Google Chrome w ogóle nie zedytowane, nadal wyszukiwarka ma doklejone Qooqlle: CHR - default_search_provider: qooqlle ()CHR - default_search_provider: search_url = "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F" Jaki tu jest problem? Należy przestawić, by Qooqlle przestało być wyszukiwarką domyślną i zlikwidować. 2. Uruchom AD-Remover i użyj w nim opcję Clean, co przeczyści w dużej mierze odpadki po adware. 3. Skrypt poprawkowy, adresujący: wpisy którym AD-Remover nie usunie, globalne czyszczenie lokalizacji tymczasowym (przesunięte dopiero na ten etap, bo było dużo deinstalacji), naprawę wpisu CDBurn. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.selectedEngine: "My Web Search" :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@funwebproducts.com/Plugin] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\0423448b-1946-4b3e-b23c-58419f150103] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\5f5575d8-2970-4be7-acc5-e1987157208b] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\620ccd9f-8c3d-431d-a529-3f8acc654f8d] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\9046e355-f09a-4daf-b579-eff022ac44e9] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\f32d9263-5ed4-4090-8e04-73d94cd7eed6] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{2A9467B4-C085-11DD-BC92-869555D89593}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "Default_Search_URL"=- "SearchAssistant"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BearShare"=- :Files C:\Program Files\Mozilla Firefox\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml C:\Documents and Settings\user\Pulpit\MyWebFace.exe C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Softonic-Polska_ C:\Program Files\uik.dat C:\Program Files\is.dat regsvr32 /i shell32.dll /C :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. 4. Wygeneruj do oceny logi: OTL z opcji Skanuj oraz AD-Remover z opcji Scan. . Odnośnik do komentarza
suchy400 Opublikowano 20 Września 2011 Autor Zgłoś Udostępnij Opublikowano 20 Września 2011 Są tu te logi, a Google chrome wydaje się być zdrową przeglądarką już: OTL.Txt Ad-Report-SCAN2.txt Odnośnik do komentarza
picasso Opublikowano 20 Września 2011 Zgłoś Udostępnij Opublikowano 20 Września 2011 Nie wszystko się wykonało. 1. Niestety Google Chrome jest nadal nie do końca zedytowane. Zauważ, że wyszukiwarka nazywa się teraz "Google" (zmieniłeś), ale jej ciąg wyszukiwania ma doklejone "qooqlle" na końcu: CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F" 2. W Google Chrome w pasku adresów przez chrome://plugins oraz chrome://extensions wywołaj menedżery i usuń Fun Web Products + BrotherSoft Extreme: CHR - plugin: Fun Web Products Plugin Stub (Enabled) = C:\Program Files\FunWebProducts\Installr\2.bin\NPFunWeb.dllCHR - Extension: BrotherSoft Extreme = C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\naipdapbimiiikbbgjcpbgmfhnlbagpj\2.2.0.5_0\ 3. Drobna poprawka pod kątem Firefox, a musi on być zamknięty podczas tej operacji. Uruchom AD-Remover z opcji Clean. Dodatkowo, przez SHIFT+DEL skasuj ten folder z dysku: [2011-08-23 13:25:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\SFT_eng7 . Odnośnik do komentarza
suchy400 Opublikowano 20 Września 2011 Autor Zgłoś Udostępnij Opublikowano 20 Września 2011 Zrobione, coś jeszcze potrzeba? Odnośnik do komentarza
picasso Opublikowano 22 Września 2011 Zgłoś Udostępnij Opublikowano 22 Września 2011 (edytowane) Jeśli wszystko wykonałeś (na pewno?), możemy przejść do finalizacji: 1. Posprzątaj po używanych narzędziach: Odinstaluj AD-Remover. Uruchom Sprzątanie w OTL. 2. Wykonaj istotne pod kątem łatania luk aktualizacje oprogramowania: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 26"{26A24AE4-039D-4CA4-87B4-2F83216020F0}" = Java 6 Update 20"{26A24AE4-039D-4CA4-87B4-2F83216021F0}" = Java 6 Update 21"{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish"{E5D03B2E-B2D4-477F-A60D-8E1969D821FA}" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Gadu-Gadu 10" = Gadu-Gadu 10"Google Chrome" = Google Chrome"Opera 11.50.1074" = Opera 11.50 - Podstawy aktualizacyjne do wykonania: INSTRUKCJE. Czyli tu aktualizacja przeglądarek, wyrzucenie wszystkich starych Java na korzyść najnowszej, podobnie z produktami Adobe. - (Opcjonalnie) rozważ wymianę strasznego GG10 alternatywą. W temacie Darmowe komunikatory są opisane zamienniki: AQQ, Kadu, WTW i Miranda. 3. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE. . Edytowane 10 Grudnia 2011 przez picasso 30.10.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi