Problem z Chrome.exe Rootkit

[Piter81]

Witam

Od wczoraj mam problem z przegladarką Google Chrome. Po jej uruchomieniu Avast wykrywa i po chwili usuwa rootkita w plku chrome.exe, a sama przeglądarka przestaje działać po dłuższej chwili.

 

Dodam, że to laptop, którego używam w domu i w pracy.

 

Extras.Txt

OTL.Txt

FRST.txt

Addition.txt

GMER.Log1.txt

GMER.Log2.txt

[picasso]

Zgłoszenia Avast są związane z obecnością adware. Przeglądarka Google Chrome nie wygląda obecnie na zainstalowaną. Widzę jej konfigurację na dysku (będę ją usuwać), lecz nie wejście na liście zainstalowanych. Wykonaj następujące akcje:

 

1. Otwórz Notatnik i wklej w nim:

 

AppInit_DLLs-x32: c:\progra~2\sshelp~1\sprote~1.dll => C:\Program Files (x86)\ss helper\sprotector.dll [1050112 2013-01-24] ()
Task: {A8BCCC11-37B5-4835-A202-853AE0DC0E64} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe 
Task: {AB07AC05-48A1-4F07-B2EE-0A4B00540C0E} - System32\Tasks\Dealply => C:\Users\Piotr\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE 
Task: {EF0FCF88-A7CC-47F3-8468-5249DEDA57A0} - System32\Tasks\Omiga Plus RunAsStdUser => C:\Program Files (x86)\Omiga Plus\omigaplus.exe
Task: C:\Windows\Tasks\Dealply.job => C:\Users\Piotr\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE 
HKU\S-1-5-21-3817265874-1029240149-1278691232-1001\...\Run: [LiveSupport] - "C:\Program Files (x86)\LiveSupport\LiveSupport.exe" /noshow /log
HKU\S-1-5-21-3817265874-1029240149-1278691232-1001\...\Winlogon: [shell] explorer.exe [2871808 2011-02-25] (Microsoft Corporation) 
Winlogon\Notify\WB: C:\PROGRA~2\Stardock\OBJECT~1\WINDOW~1\fast64.dll [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=128
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183
URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=C8AE1C4BD610429E
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=ST9640320AS_5WX0YAP1XXXX5WX0YAP1&ts=1375880183
SearchScopes: HKCU - {D1531AC7-2E44-4F2B-AF14-FC527B85FF48} URL = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=&apn_ptnrs=^FV&apn_dtid=^YYYYYY^YY^PL&apn_uid=eceeae19-d029-471e-ba30-4d1cd316d91a&apn_sauid=0390DFC2-042A-4F46-B240-5AB18B00AB05
BHO-x32: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
FF Plugin HKCU: @lightspark.github.com/Lightspark;version=1 - C:\Program Files (x86)\Lightspark 0.5.3-git\nplightsparkplugin.dll No File
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\qvo6.xml
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
C:\Users\Piotr\AppData\Local\Google\Chrome
C:\Users\Piotr\AppData\Local\Temp\*.exe
C:\Users\Piotr\AppData\Roaming\Babylon
C:\Users\Piotr\AppData\Roaming\Dealply
C:\Users\Piotr\AppData\Roaming\Desk 365
C:\Users\Piotr\AppData\Roaming\eIntaller
C:\Users\Piotr\AppData\Roaming\systweak
C:\Windows\system32\roboot64.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware: savaeensshoaree, ss helper 1.74

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[Piter81]

Przeglądarka Google Chrome nie wygląda obecnie na zainstalowaną. Widzę jej konfigurację na dysku (będę ją usuwać), lecz nie wejście na liście zainstalowanych. Wykonaj następujące akcje:

Chrome odinstalowałem przed sprawdzeniem.

[picasso]

Dlatego mówię, że usuwam z dysku folder z konfiguracją tej przeglądarki, gdyż deinstalacja nie była pełna. Podejrzewam, że przy pytaniu o usuwanie "danych prywatnych" odpowiedziałeś negatywnie, co powoduje pozostawienie na dysku całego profilu Google Chrome.

 

W każdym razie przejdź do wykonania podanych czynności.

 

 

.

[Piter81]

Zrobione

Fixlog.txt

FRST.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

Wszystko zrobione. Problemy powinny ustać i jeśli chcesz wrócić do Google Chrome, to nie ma przeszkód, zresztą przeglądarka per se w ogóle nie była problemem (problemem było odgórnie zainstalowane adware ją "wykorzystujące"). Finalizacja:

 

1.Przez SHIFT+DEL (omija Kosz) skasuj FRST64.exe oraz te obiekty:

 

C:\FRST

C:\Program Files (x86)\ss helper

C:\Users\Piotr\Desktop\FRST-OlderVersion

C:\Windows\SysWOW64\8424660111868307373.log

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj te dwa programy:

 

==================== Installed Programs ======================
 

Adobe Reader X (10.1.9) - Polish (x32 Version: 10.1.9 - Adobe Systems Incorporated)

Gadu-Gadu 10 (x32 Version: - GG Network S.A.)

 

W kwestii Gadu: albo zamień najnowszym GG12 (jest z pewnością lepsze niż ten "dziesiątkowy" potwór), albo zamień alternatywą np. WTW. Opisy: KLIK.

 

 

 

.

[Piter81]

Wszystko zrobione. Chrome działa. GG usunąłem bo i tak nie korzystam. Adobe zaktualizowane.

Serdeczne dzięki za pomoc.