Qooqlle ponownie

[Wawa]

Witam, jakiś czas temu miałem problem z hxxp://www.qooqlle.com jako strona startowa, której nie można zmienić. Problem został rozwiązany http://www.fixitpc.p...8877#entry38877, jednak z jakiegoś powodu problem powrócił. Tym razem qooqlle od razu przekierowuje do http://www.bing.com. Oto świeże skany, z góry dziękuję za pomoc.

 

Results of screen317's Security Check version 0.99.24

Windows 7 Service Pack 1 x86 (UAC is enabled)

Internet Explorer 9

``````````````````````````````

Antivirus/Firewall Check:

avast! Free Antivirus

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Java™ 6 Update 29

Adobe Flash Player 11.0.1.152

Mozilla Firefox (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

AVAST Software Avast AvastSvc.exe

AVAST Software Avast AvastUI.exe

``````````End of Log````````````

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Problem został rozwiązany (...) jednak z jakiegoś powodu problem powrócił.

 

Wnioski: albo nadal masz na dysku jakąś lewą paczkę, której uruchomienie przeładowuje infekcję, albo znów pobrałeś coś. Infekcja Qooqlle jest nabywana przez torrent, w paczkach z "kodekami". Niewątpliwie coś tu takiego instalowałeś, bo jest to w logu (i to do deinstalacji):

 

[2011-11-04 21:15:42 | 000,000,000 | ---D | C] -- C:\Users\mama\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Theorica Divx ;-) Codecs
[2011-11-04 21:15:42 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Theorica Divx ;-) Codecs
[2011-11-04 21:15:33 | 000,000,000 | ---D | C] -- C:\Program Files\Theorica Divx ;-) Codecs

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-4268632001-2876990272-167926075-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/"
IE - HKU\S-1-5-21-4268632001-2876990272-167926075-1000\..\URLSearchHook: {90b49673-5506-483e-b92b-ca0265bd9ca8} - No CLSID value found
FF - prefs.js..browser.search.selectedEngine: "qooqlle"
FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/"
[2011-11-07 19:46:46 | 000,001,860 | ---- | M] () -- C:\Users\mama\AppData\Roaming\Mozilla\Firefox\Profiles\22fl6dgw.default\searchplugins\search.xml
O3 - HKU\S-1-5-21-4268632001-2876990272-167926075-1000\..\Toolbar\WebBrowser: (no name) - {90B49673-5506-483E-B92B-CA0265BD9CA8} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Readar_sl] %APPDATA%\Readar_sl.exe File not found
O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe ()
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Users\macirk\AppData\Roaming\svchost.exe"=-
"C:\Users\mama\AppData\Roaming\svchost.exe"=-
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania.

 

2. Przeglądarka Google Chrome ma także zmienioną wyszukiwarkę:

 

CHR - default_search_provider: qooqlle ()
CHR - default_search_provider: search_url = "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F"

 

Skrypty OTL nie mogą resetować domyślnego dostawcy wyszukiwania w Google Chrome. Należy wykonać akcję ręczną w Opcjach przeglądarki. Czyli wchodzisz do konfiguracji do zarządzania wyszukiwarkami, ustawiasz jako domyślną google, a qooqlle usuwasz z listy.

 

3. System jest pozbawiony pliku HOSTS:

 

Hosts file not found

 

Otwórz Notatnik i wklej w nim:

 

#	127.0.0.1       localhost

#	::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

4. Przedstawiasz do oceny nowy log z OTL zrobiony opcją Skanuj (Extras już nie potrzebuję) oraz log pozyskany z usuwania w punkcie 1.

 

 

 

 

.

Edytowane 10 Grudnia 2011 przez picasso
10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso