Daddy71 Opublikowano 23 Października 2013 Zgłoś Udostępnij Opublikowano 23 Października 2013 Komputer ma niecły rok, od ok. 3 miesięcy zaczęła się niespodziewanie uruchamiać przeglądarka i otwierać strony, np: hxxp://static.salesresourcepartners.com/g/?z=1&ilmernzkvtaztu=DC0EA1F71E7D8EA6&pu=&s=D-chrome&nm=ilmernzkvtaztu&t= hxxp://web.longfintuna.net/g/?z=1&ilmernzkvtazt=DC0EA1F71E7D8EA6&pu=&s=D-chrome&nm=ilmernzkvtazt&t= ... Po skanowaniu Avastem (przy uruchomieniu) usunięte zostało kilkadziesiąt kopii Rootkit: hidden file głównie z katalogu: c:\Windows\assembly\NativeImages_v......(tu różne wersje) c:\Windows\Installer\{......cyferki literki...} c:\Windows\System32\mfevtps.exe c:\Windows\temp\0010831358432010mcinst.exe a także: W32Rootkin.Gen: [Rtk} PNP:Win32:Downloader-TQO[PUP] Results of screen317's Security Check version 0.99.74 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 10 ``````````````Antivirus/Firewall Check:`````````````` avast! Antivirus Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Eusing Free Registry Cleaner Adobe Flash Player 11.9.900.117 Adobe Reader 10.1.6 Adobe Reader out of Date! Mozilla Firefox 20.0.1 Firefox out of Date! Google Chrome 30.0.1599.101 Google Chrome 30.0.1599.69 ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` OTL.Txt Extras.Txt Addition.txt FRST.txt Program na g.txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2013 Zgłoś Udostępnij Opublikowano 24 Października 2013 Po skanowaniu Avastem (przy uruchomieniu) usunięte zostało kilkadziesiąt kopii Rootkit: hidden file głównie z katalogu: c:\Windows\assembly\NativeImages_v......(tu różne wersje) c:\Windows\Installer\{......cyferki literki...} c:\Windows\System32\mfevtps.exe c:\Windows\temp\0010831358432010mcinst.exe Te dwa pierwsze wyniki są niepokojące z punktu widzenia potencjalnych fałszywych alarmów, a dwa ostatnie to szczątki McAfee... Te niby "rootkity" widać w skanie GMER i to nie są prawdziwe rootkity tylko obiekty systemu, a także komponenty Avast per se. Nie jest wykluczone, że to Avast jest przyczyną tych wyników... Tzn. że on może generować blokadę. Co do dostarczonych tu raportów, to widzę adware. Doczyść to oraz inne szczątki: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=119357&babsrc=HP_ss_din2g&mntrId=B0D274E543455C54 URLSearchHook: (No Name) - {74198672-5F7D-4FE9-A611-4AC1D5A66A15} - No File SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119357&babsrc=SP_ss&mntrId=B0D274E543455C54 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119357&babsrc=SP_ss&mntrId=B0D274E543455C54 Toolbar: HKLM-x32 - SimilarWeb - {74198672-5F7D-4FE9-A611-4AC1D5A66A15} - C:\Program Files (x86)\SimilarWeb\SimilarWeb.dll (SimilarGroup) Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Task: {253392B6-EE38-49EA-9306-F172AD9D2A3C} - System32\Tasks\Norton Product InstallerIdle => C:\Users\Antek\AppData\Local\Temp\Adobe\Shockwave 12\SymInstallStub.exe Task: {3145BA82-CA4E-4879-95AB-DC781FB93044} - System32\Tasks\DSite => C:\Users\Antek\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2013-06-08] () Task: {41001091-834D-4BBA-8143-9495DDCAF924} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: C:\Windows\Tasks\DSite.job => C:\Users\Antek\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird U3 BcmSqlStartupSvc; U4 bdselfpr; U2 CLKMSVC10_3A60B698; U2 CLKMSVC10_C3B3B687; U2 DriverService; U2 iATAgentService; U2 idealife Update Service; U3 IGRS; U2 IviRegMgr; U2 Oasis2Service; U2 PCCarerService; U2 ReadyComm.DirectRouter; U2 RichVideo; U2 RtLedService; U2 SeaPort; U2 SoftwareService; U3 SQLWriter; C:\Program Files (x86)\ESET C:\Program Files (x86)\McAfee C:\Program Files\Common Files\mcafee C:\Windows\SysWOW64\sho3CD1.tmp C:\Users\Antek\AppData\Roaming\Babylon C:\Users\Antek\AppData\Roaming\DSite C:\Users\Antek\AppData\Roaming\SimilarWeb Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{5D06ED6E-DA78-4486-A246-B131A2C39807}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extensions\{5D06ED6E-DA78-4486-A246-B131A2C39807}" /f CMD: netsh advfirewall reset CMD: for /d %f in (C:\Users\Antek\AppData\Local\{*}) do rd /s /q "%f" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj PC Speed Up Extension, SimilarWeb. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie narusz zakładek i haseł, ale zainstalowane rozszerzenia trzeba będzie przeinstalować. 4. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.babylon.com Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy Babylon. Ustawienia > karta Rozszerzenia > odinstaluj 22Apple, Amazon 1Button App for Chrome, New Tab Ustawienia > karta Historia > wyczyść 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Uruchom TFC - Temp Cleaner. 7. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
Daddy71 Opublikowano 25 Października 2013 Autor Zgłoś Udostępnij Opublikowano 25 Października 2013 Poszło wszystko bez problemów. Logi w załączniu. Fixlog.txt AdwCleanerS0.txt FRST.txt Odnośnik do komentarza
Daddy71 Opublikowano 8 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 8 Listopada 2013 Minęły prawie 3 tyg. Komputer zachowuje sie poprawnie, zatem działania były skuteczne. Liczyłem tylko na jakieś "Logi czyste" czy coś w tym stylu, ale rozumiem, że z powodu nawału zajęć... Malutkie co nieco (zupełnie nieadekwatne do włożonej pracy, ale zawsze...) poleciało do KB. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się