Przekierowania wyszukiwarki FirefoxGooredFixPobierz
2010-02-21
Przekierowania wyszukiwarki FirefoxGooredFixPobierz GooredFixexePobierz GooredFixexeNarzędzie do usuwania infekcji implementowanej do Firefoxa chrzczonej kryptonimem goored od jednego z przekierowań Hijacker charakteryzuje się przejęciem zachowań wyszukiwarek przeglądarki Google Yahoo MSN AOL i Ask Wyniki wyszukiwania są przekierowywane poprzez dziwne stronyZasada infekcji jest montowana ukryta wtyczka Firefox niewidoczna na liście wtyczek która monitoruje pasek adresów pod kątem kluczowych typu google etc a w następstwie ładuje zewnętrzny plik javascript do nagłówka każdej otwieranej strony wyszukiwarki Następuje monitoring wyników wyszukiwania które są podmieniane zupełnie innymi punktującymi do wyników szkodliwych Znaki infekcji alternatywne przeglądarki IE Opera etc nie cierpią na ten sam defekt po starcie Firefox może się pojawić notyfikacja o zamontowaniu wtyczki choć nic nie było ręcznie montowane W trakcie używania wyszukiwarek na pasku statusu są widoczne różnorakie dziwne adresy np v1adwarefeedcom clickfraudmanager googlegoored goouglycom zfsearchcom msnoozecom OBSŁUGA NARZĘDZIA1 Ściągnięty plik uruchamiamy przez dwuklik Vista z prawokliku opcją Uruchom jako Administrator2 Zostanie uruchomiona konsola z menu wyboru akcjiGooredFix v192 by jpshortstuffPlease select an option aby typing the number of the option and pressing Enter1 Find Goored no fix2 Fix Goored3 ExitWpisanie z klawiatury określonej liczby przeprowadzi wybrane zadanie 1 skan bez naprawy 2 automatyczna dezynfekcja 3 anulowanie działania i zamknięcie narzędziaOPCJA 1 TWORZENIE RAPORTUWpisujemy z klawiatury 1 i ENTERPlease select an option ażeby typing the number of the option and pressing Enter1 Find Goored no fix2 Fix Goored3 Exit1W Notatniku zostanie otworzony log którego zawartość należy pokazać na forumPrzykładowe logiCODEBOXGooredFix v192 aby jpshortstuffLog created at 2047 on 24032009 running Option #1 ScottFirefox version 307 enUS=====Suspect Goored Entries=====CProgram FilesMozilla Firefoxextensions1479FCA115DF45B2B93F34B8217D3EAB=====Dumping Registry Values=====HKEY_LOCAL_MACHINESOFTWAREMozillaMozilla Firefox 307extensionsPlugins=CProgram FilesMozilla FirefoxpluginsHKEY_LOCAL_MACHINESOFTWAREMozillaMozilla Firefox 307extensionsComponents=CProgram FilesMozilla FirefoxcomponentsHKEY_LOCAL_MACHINESOFTWAREMozillaFirefoxextensionsjqs@suncom=CProgram FilesJavajre6libdeployjqsff********************************GooredFix v192 ażeby jpshortstuffLog created at 1858 on 25032009 running Option #1 SophieFirefox version 307 enGB=====Suspect Goored Entries=====CProgram FilesMozilla FirefoxextensionsFDB0B85BA6AC4AE7B99533C1929F9089=====Dumping Registry Values=====HKEY_LOCAL_MACHINESOFTWAREMozillaMozilla Firefox 307extensionsPlugins=CProgram FilesMozilla FirefoxpluginsHKEY_LOCAL_MACHINESOFTWAREMozillaMozilla Firefox 307extensionsComponents=CProgram FilesMozilla FirefoxcomponentsHKEY_LOCAL_MACHINESOFTWAREMozillaFirefoxextensionsjqs@suncom=CProgram FilesJavajre6libdeployjqsff*Znakiem infekcji typu Goored jest wejście o następującym schemacie losowymHKEY_LOCAL_MACHINESOFTWAREMozillaFirefoxextensionslosowe znaki=CDocuments and SettingsKontoUstawienia lokalneDane aplikacji e same losowe znakiAlbo katalog następującej formy to mogą być też prawidłowe rzeczyCProgram FilesMozilla Firefoxextensionslosowe znakiJeśli wejście tego rodzaju jest obecne i nie widnieją żadne inne wejścia w sekcji Suspect Goored Entries można przejść do następnego punktu zadaniowego Jeżeli zaś brak takiego odnośnika są inne zapisy albo brak rozeznania w tej materii nie należy podejmować usuwania na własną rękę tylko zgłosić się z logami na forum Najlepiej w ogóle nie podejmować żadnych działań we własnym zakresie OPCJA 2 DEZYNFEKCJANależy zamknąć wszystkie otwarte okna a zwłaszcza okna przeglądarki Firefox Uruchomić GooredFix jak wcześniej Vista Uruchom jako Admin Na znanym już nam ekranie wpisać z klawiatury 2 i ENTERPlease select an option ażeby typing the number of the option and pressing Enter1 Find Goored no fix2 Fix Goored3 Exit2Pojawi się komunikat ostrzeżeniowy a oprócz tego prośba o potwierdzenie operacji przez wprowadzenie z klawiatury Y i ENTERCaution Only proceed with this option if advised to do so aby a Malware ExpertPlease close all Firefox windows Proceed yn YRozpocznie się usuwanie Jeśli pojawi się komunikat proszący o restart komputera należy to zatwierdzić A po restarcie dopuścić wszystkie zmiany rejestru jeżeli już jakiś strażnik programowy je wykryje Działanie to także produkuje log Przykładowy log z czyszczeniaCODEBOXGooredFix v192 by jpshortstuffLog created at 1622 on 11032009 running Option #2 jontintlFirefox version 307 enUSSubsequent Run=====Goored Deletions=====HKEY_LOCAL_MACHINESOFTWAREMozillaFirefoxextensionsAB127307CCEC4D6FB07615D2C13DA2A9=CDocuments and SettingsjontintlLocal SettingsApplication DataAB127307CCEC4D6FB07615D2C13DA2A9