Problem z qooqlle

[arekw77]

Witam.To mój pierwszy pots więc proszę o wyrozumiałość. Podpięło mi się jakieś draństwo do kompa. Robi za stronę startową w stylu google,Proszę o pomoc

Extras.Txt

OTL.Txt

[picasso]

Żródło infekcji Qooqlle: zaprawione "kodeki" ze źródeł typu torrent. W raporcie są także ślady innych infekcji oraz odpadki adware. Przechodząc do usuwania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://qooqlle.com"
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50040
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [AdobeReader] C:\Users\ARKADIUSZ\AppData\Roaming\Microsoft\Windows\reader_sl.exe ()
F3:64bit: - HKCU WinNT: Load - (C:\Users\ARKADIUSZ\AppData\Roaming\FD81B\lvvm.exe) -  File not found
F3 - HKCU WinNT: Load - (C:\Users\ARKADIUSZ\AppData\Roaming\FD81B\lvvm.exe) - File not found
[2012-01-23 18:43:02 | 000,000,000 | ---D | C] -- C:\Users\ARKADIUSZ\AppData\Roaming\FD81B
[2012-01-23 18:42:26 | 000,000,000 | ---D | C] -- C:\Users\ARKADIUSZ\AppData\Roaming\426FD
FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..extensions.enabledItems: {942cd1d4-9cc1-4d31-876a-ea8f489f7a59}:3.3.3.2
FF - prefs.js..extensions.enabledItems: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}:3.3.3.2
FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100478&babsrc=adbartrp&mntrId=426fd81b00000000000000241dd860f9&q="
[2012-01-18 23:21:25 | 000,000,000 | ---D | M] (InnoGames International Community Toolbar) -- C:\Users\ARKADIUSZ\AppData\Roaming\mozilla\Firefox\Profiles\xpzqfteh.default\extensions\{942cd1d4-9cc1-4d31-876a-ea8f489f7a59}
[2012-01-31 20:58:11 | 000,000,000 | ---D | M] (Softonic-Polska Community Toolbar) -- C:\Users\ARKADIUSZ\AppData\Roaming\mozilla\Firefox\Profiles\xpzqfteh.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}
[2011-04-20 12:06:30 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\ARKADIUSZ\AppData\Roaming\mozilla\Firefox\Profiles\xpzqfteh.default\extensions\engine@conduit.com
[2010-11-27 15:19:14 | 000,000,000 | ---D | M] (vShare) -- C:\Users\ARKADIUSZ\AppData\Roaming\mozilla\Firefox\Profiles\xpzqfteh.default\extensions\vshare@toolbar
[2010-12-08 14:49:56 | 000,000,933 | ---- | M] () -- C:\Users\ARKADIUSZ\AppData\Roaming\Mozilla\Firefox\Profiles\xpzqfteh.default\searchplugins\conduit.xml
[2011-12-17 13:52:22 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Stwórz nowy log z OTL opcją Skanuj (Extras po raz drugi już nie potrzebuję) + AdwCleaner z opcji Search. Dołącz log z wynikami usuwania z punktu 1.

 

 

 

.

[arekw77]

Witam.Ponownie mam problem z kompem.Tym razem strona startowa się nie zmieniła ale na przykład programy typu ccleaner nie działają,Nie da się też normalnie wejść na stronkę fixitpc bo pokazuje, że tam jest wirus.Proszę o pomoc w rozwiązaniu problemu i pomysł jak czegoś takiego unikać.Pozdrawiam

OTL.Txt

[picasso]

arekw77 nie zgłosiłeś się poprzednio z wykonaniem zadania, żadnych potwierdzeń, żadnych logów i niesfinalizowane czyszczenie adware. Temat był po prostu nieskończony. Nie uciekajcie po pierwszych znakach ustąpienia problemów. Tematy mają określoną konstrukcję, wszystkie działania muszą być potwierdzone, a same skrypty do OTL to połowa zadania a nie całość.

 

Teraz nowy problem i przychodzisz. Nowa infekcja. Narzędzie OTL stare, jest nowa wersja i należy pobrać najnowszą. Log z OTL jest niekompletny, brakuje Extras. OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" na "Brak", a ma być "Użyj filtrowania".

 

Tym razem strona startowa się nie zmieniła ale na przykład programy typu ccleaner nie działają

 

Ale na czym to polega? Jaki objaw / błąd?

 

 

---

Przechodząc do usuwania tego co widzę aktualnie:

 

1. Pobierz najnowszy OTL. Uruchom go i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [Java] C:\Users\ARKADIUSZ\AppData\Roaming\Microsoft\jusched.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Zrób nowy log z OTL opcją Skanuj (przypominam o nowym Extras) + AdwCleaner z opcji Search. Dołącz log z wynikami usuwania z punktu 1.

 

 

 

.

[arekw77]

Mam podstawowe pyatnie,czy restart systemu ma być normalny czy mam przejść ponownie do trybu awaryjnego od razu?

[picasso]

Skrypt OTL automatycznie resetuje system. I skąd tu nagle "Tryb awaryjny"? Nic takiego nie mówiłam ...

[arekw77]

Skrypt OTL automatycznie resetuje system. I skąd tu nagle "Tryb awaryjny"? Nic takiego nie mówiłam ...

 

Chodzi mi o to,że OTL-a ja mogę używać tylko w Trybie awaryjnym,bo w trybie normalnym "wirus" czy coś co dolega kompowi,na to nie pozwala.Nie mogę odpalić OTl-a w trybie normalnym,stąd moje pytanie czy po restarcie komp ma przejść do trebu normalnego czy też nie

[picasso]

Ale widzisz, nic nie pisałeś o tym, że w Trybie normalnym nie możesz uruchomić OTL (i nie wyjaśniłeś jasno co oznacza "na przykład programy typu ccleaner nie działają"), bo nagłówek z OTL wskazujący zbootowanie w Trybie awaryjnym nie jest jednoznaczny z tym, że w ogóle program się nie uruchamia w normalnym. Mogę wymyślić X powodów dlaczego robię log z poziomu awaryjnego, podczas gdy OTL w normalnym się uruchamia.

 

Co do pytania: pozwól na normalny restart i oceń skutki.

 

 

 

.

[arekw77]

Wrzucam wszystko co chciałaś.Komputer normalnie się uruchomił i dało się korzystać z OTL-a w trybie normalnym.Jedyne co zauważyłem to wiadomość,że Centrum zabezpieczeń Windows jest wyłączone i nie da się tego uruchomić.

 

Tego jednego nie umiałem wkleić inaczej:

 

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Java deleted successfully.

C:\Users\ARKADIUSZ\AppData\Roaming\Microsoft\jusched.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HideSCAHealth deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: ARKADIUSZ

->Temp folder emptied: 54231679 bytes

->Temporary Internet Files folder emptied: 966257 bytes

->Java cache emptied: 763109 bytes

->FireFox cache emptied: 334348121 bytes

->Flash cache emptied: 17802 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 284398 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 373,00 mb

 

 

OTL by OldTimer - Version 3.2.33.2 log created on 02242012_204349

 

Files\Folders moved on Reboot...

C:\Users\ARKADIUSZ\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

 

Registry entries deleted on Reboot...

Extras.Txt

OTL.Txt

AdwCleanerR2.txt

[picasso]

Komputer normalnie się uruchomił i dało się korzystać z OTL-a w trybie normalnym.

 

W kwestii logów, zadanie pomyślnie wykonane (co potwierdza też fakt uzyskania sprawności systemu w Trybie normalnym), ale mamy do wyczyszczenia odpadki adware. AdwCleaner widzi trochę śmieci, uruchom go z opcji Delete. Po tym zrób nowy log z opcji Search. Logów z OTL już nie potrzebuję.

 

 

Jedyne co zauważyłem to wiadomość,że Centrum zabezpieczeń Windows jest wyłączone i nie da się tego uruchomić.

 

Na początek sprawdź podstawy: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście wyszukaj usługę Centrum zabezpieczeń, z dwukliku wejdź do Właściwości i Typ startowy przestaw na Automatycznie (opóźnione uruchomienie) + usługę zastartuj przyciskiem. Jeżeli jednak takiej usługi nie będzie wcale widocznej na liście, podam instrukcje jak ją odtworzyć.

 

 

Tego jednego nie umiałem wkleić inaczej

 

Zasady działu i Pomoc forum wyjaśniają dlaczego. Załączniki dopuszczają tylko format *.TXT a nie *.LOG. Zmiana nazwy pliku wystarczy. Z drugiej strony log krótki i wprost w poście może być wklejony.

 

 

.

[arekw77]

Witam.

Co do Centrum zabezpieczeń to nie znalazłem tego w zalecanym obszarze Może źle szukam...

AdwCleanerR3.txt

[picasso]

Co do Centrum zabezpieczeń to nie znalazłem tego w zalecanym obszarze

 

Odtwarzaj usługę w rejestrze bazując na moim tutorialu: KLIK. Po wykonaniu zadania zresetuj system i sprawdź czy Centrum działa.

 

 

 

 

 

 

[arekw77]

Wszystko jest w porządku.Teraz pytanie jaki był powód tych problemów i jak się tego ustrzec? Posiadam tylko zainstalowanego F-Secure.

[picasso]

Wykonaj następujące czynności:

 

1. Porządkowanie po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner uruchom Uninstall.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware. O ile coś zostanie znalezione, przedstaw log (pustego nie ma potrzeby dołączać).

 

 

Teraz pytanie jaki był powód tych problemów i jak się tego ustrzec?

 

Trudno powiedzieć skąd nabyłeś infekcję. Może pobrałeś jakiś plik z lewego źródła, a może wchodziłeś na stronę wykonującą skrypt.

 

 

.

[arekw77]

Tak to wygląda:

mbam-log-2012-02-25 (18-13-25).txt

[picasso]

1. Wyniki MBAM: Mam tu wątpliwość na temat pliku SKIDROW.dll, pozostałe mają kwalifikacje do usunięcia od ręki (FoxTab FLV Player to adware, zaś plik uidsave.dat jest związany z infekcjami). Po tej akcji wyczyść ponownie foldery Przywracania systemu.

 

2. Na koniec wykonaj drobne aktualizacje oprogramowania: KLIK. Na Twojej liście widzę m.in.:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java™ 6 Update 26
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

 

Dla podkreślenia: to Flash w wersji Internet Explorer 32-bit wymaga aktualizacji.

 

 

 

.

[arekw77]

Wygląda, że wszystko wróciło do normy.Wielkie dzięki za pomoc.Czy oprócz podanego oprogramowania antywirusowego polecasz coś,by ustrzec się przed takimi problemami?Pozdrawiam

[picasso]

Czy oprócz podanego oprogramowania antywirusowego polecasz coś,by ustrzec się przed takimi problemami?

 

Pierwszą infekcję (qooqlle) nabyłeś przez głupotę, pobierając lewą paczkę ze źródła typu torrent. Skan antywirusem może nie oddawać sytuacji rzeczywistej, o ile sobie nawet przypominam, wiele osób zaatakowanych tą infekcją miało zerowy odczyt z AV. Wiesz do czego zmierzam, co zapewnia 100% ochrony przed tym .... Druga infekcja (plik jusched.exe) nie wiadomo skąd, ale mam podejrzenie, że to jest podobne źródło do pierwszego ...

 

 

 

.