Rootkit/komputer sie zawiesza

[Onlyone]

Witam, kupiłem kilka dni temu komputer od znajomego. Pierwszego dnia było wszystko ok, po dwóch dniach komputer zaczął się zacinać przy najprostszych operacjach. Raz chodzi płynnie tak jak powinien a raz myśli nad otworzeniem folderu przez 2 minuty i nie można nawet menadzera zadań uruchomić. Myślę że mógł wedrzeć się jakiś wirus. Avastem nie mogę zeskanować komputera, wyskakuję jakiś błąd. Sciągam teraz avg_free, w między czasie dodam logi i liczę na waszą pomoc

OTL.Txt

Extras.Txt

raport.txt

FRST.txt

Addition.txt

[picasso]

Ten "rootkit" w GMER to nie rootkit tylko obiekty Avast, taki odczyt możliwy, gdy jest jakieś zaweszenie.

 

 

Myślę że mógł wedrzeć się jakiś wirus. Avastem nie mogę zeskanować komputera, wyskakuję jakiś błąd. Sciągam teraz avg_free, w między czasie dodam logi i liczę na waszą pomoc

Konkretnie: jaki błąd wyskakuje w Avast? Następnie: chyba nie masz zamiaru instalować AVG gdy w systemie jest Avast? Dwa antywirusy mogą doprowadzić do jeszcze większego zamulenia lub nawet zablokowania startu Windows. Jeśli masz zamiast instalować AVG, musisz się pozbyć Avast z systemu.

 

Póki co, widzę tu jakieś podejrzane obiekty w Roaming + Debugger nałożony na Pasek boczny oraz adware, które na dodatek sypie błędami:

 

Error: (12/05/2013 09:03:26 PM) (Source: Service Control Manager) (User: )

Description: Usługa Wsys Service zawiesiła się podczas uruchamiania.

 

Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

R2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [303680 2013-08-31] (Wsys Co., Ltd.)
HKCU\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=46366&st=home&tid=3871&ver=3.2&ts=1369686336076&tguid=46366-3871-1369686336076-E5FEA52DD0EF37EF20ACE92FA3689FCA
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=46366&st=chrome&tid=3871&ver=3.2&ts=1369686336076&tguid=46366-3871-1369686336076-E5FEA52DD0EF37EF20ACE92FA3689FCA&q=
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST3802110A_5LRB3AZWXXXX5LRB3AZW&ts=1377935966
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST3802110A_5LRB3AZWXXXX5LRB3AZW&ts=1377935966
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST3802110A_5LRB3AZWXXXX5LRB3AZW&ts=1377935966
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=46366&st=chrome&tid=3871&ver=3.2&ts=1369686336076&tguid=46366-3871-1369686336076-E5FEA52DD0EF37EF20ACE92FA3689FCA&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST3802110A_5LRB3AZWXXXX5LRB3AZW&ts=1377935966
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST3802110A_5LRB3AZWXXXX5LRB3AZW&ts=1377935966
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=46366&st=chrome&tid=3871&ver=3.2&ts=1369686336076&tguid=46366-3871-1369686336076-E5FEA52DD0EF37EF20ACE92FA3689FCA&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=46366&st=home&tid=3871&ver=3.2&ts=1369686336076&tguid=46366-3871-1369686336076-E5FEA52DD0EF37EF20ACE92FA3689FCA
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=46366&st=chrome&tid=3871&ver=3.2&ts=1369686336076&tguid=46366-3871-1369686336076-E5FEA52DD0EF37EF20ACE92FA3689FCA&q=
URLSearchHook: HKCU - (No Name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST3802110A_5LRB3AZWXXXX5LRB3AZW&ts=1377935966
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST3802110A_5LRB3AZWXXXX5LRB3AZW&ts=1377935966
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST3802110A_5LRB3AZWXXXX5LRB3AZW&ts=1377935966
SearchScopes: HKLM-x32 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=46366&st=bs&tid=3871&ver=3.2&ts=1369686336076&tguid=46366-3871-1369686336076-E5FEA52DD0EF37EF20ACE92FA3689FCA&q={searchTerms}
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=46366&st=bs&tid=3871&ver=3.2&ts=1369686336076&tguid=46366-3871-1369686336076-E5FEA52DD0EF37EF20ACE92FA3689FCA&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST3802110A_5LRB3AZWXXXX5LRB3AZW&ts=1377935966
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=46366&st=bs&tid=3871&ver=3.2&ts=1369686336076&tguid=46366-3871-1369686336076-E5FEA52DD0EF37EF20ACE92FA3689FCA&q={searchTerms}
SearchScopes: HKCU - {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=stonicla&s={searchTerms}&f=4
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://search.certified-toolbar.com?si=46366&st=bs&tid=3871&ver=3.2&ts=1369686336076&tguid=46366-3871-1369686336076-E5FEA52DD0EF37EF20ACE92FA3689FCA&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=ST3802110A_5LRB3AZWXXXX5LRB3AZW&ts=1380226898&type=default&q={searchTerms}
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=46366&st=bs&tid=3871&ver=3.2&ts=1369686336076&tguid=46366-3871-1369686336076-E5FEA52DD0EF37EF20ACE92FA3689FCA&q={searchTerms}
BHO-x32: IplexToALLPlayer - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - D:\AllPlayer\ALLPlayer\Iplex\IplexToALLPlayer.dll No File
Toolbar: HKLM-x32 - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
HKCU\...\Run: [ALLUpdate] - "D:\AllPlayer\ALLPlayer\ALLUpdate.exe" "sleep"
IFEO\sidebar.exe: [Debugger] C:\Program Files (x86)\Windows Sidebar\Sidebar32.exe
S1 EIO64; system32\DRIVERS\EIO64.sys [x]
Task: {D0456A97-E09F-4240-A488-FA62FE0137C8} - System32\Tasks\FoxTab => C:\Users\lupus\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE
Task: {EA284826-687E-41AE-9523-756AED7CA94D} - System32\Tasks\{6D578D0D-3AEF-4E21-A4C6-4C609B2EEBF4} => C:\Program Files\Microsoft Security Client\msseces.exe
Task: C:\Windows\Tasks\FoxTab.job => C:\Users\lupus\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE
C:\ProgramData\eSafe
C:\Users\lupus\AppData\Local\Temp\85444uninstall.exe
C:\Users\lupus\AppData\Local\Temp\Sqlite3.dll
C:\Users\lupus\AppData\Roaming\lupus-wchelper.dll
C:\Users\lupus\AppData\Roaming\CCF36FA5
C:\Users\lupus\AppData\Roaming\svchost
C:\Users\lupus\AppData\Roaming\Shareaza
C:\Program Files (x86)\BonanzaDealsLive
C:\Program Files (x86)\BonanzaDeals
C:\Program Files (x86)\mozilla firefox
C:\Program Files (x86)\Windows Sidebar\Sidebar32.exe
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[Onlyone]

Tak, miałem zamiar usunąć avasta przed zainstalowaniem AVG Już się tego podejmuję, wstawiam logi i screena z błędem Avasta, klikając na te nie widoczne opcje zmieniają się tylko ikonki np folder i coś tam jeszcze, klikając skanowanie nic się nie dzieje..

 

Nie wiedziałem który log z ADwcleaner jest prawidłowy to dodałem wszystkie jakie powstały ;p

 

FRST.txt

Fixlog.txt

AdwCleanerR1.txt

AdwCleanerS1.txt

[picasso]

Usuwam nadwyżkę logów AdwCleaner.

 

Widzę, że między pierwszym postem a ostatnim zdarzyło się więcej, czyli kolejna instalacja adware My VuuPC. Dokasuj z Pulpitu te śmieciarskie skróty:

 

2013-12-06 13:59 - 2013-12-06 13:59 - 00001113 _____ C:\Users\lupus\Desktop\Continue AnyProtect Installation.lnk

2013-12-06 13:58 - 2013-12-06 13:58 - 00001144 _____ C:\Users\lupus\Desktop\My VuuPC.lnk

 

A ponadto sprawdź na liście zainstalowanych programów czy aby nie ma takiego wejścia. Będziesz miał też do czytanie ten materiał jak uniknąć instalacji adware: KLIK.

 

Ogólnie zadane akcje wykonane. Jeśli nie notujesz poprawy w działaniu systemu, to:

 

Tak, miałem zamiar usunąć avasta przed zainstalowaniem AVG Już się tego podejmuję, wstawiam logi i screena z błędem Avasta, klikając na te nie widoczne opcje zmieniają się tylko ikonki np folder i coś tam jeszcze, klikając skanowanie nic się nie dzieje..

Usuń Avast z systemu: najpierw go poprawnie odinstaluj przez Panel sterowania, następnie wejdź w Tryb awaryjny Windows i posłuż się dodatkowym czyścicielem Avast Uninstall Utility. Po tej akcji nie instaluj żadnego nowego antywirusa, tylko sprawdź jak zachowuje się system.

 

 

 

.

[Onlyone]

Wszystko zrobiłem zgodnie z poleceniami. Rozdział o ochronie przed Adware także przestudiowałem  

 

Narazie system chodzi, nic nie ścina także jest super Dziękuję uprzejmie!

[picasso]

W związku z tym możesz przeprowadzić akcje końcowe:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.