Andziorka Opublikowano 30 Stycznia 2015 Zgłoś Udostępnij Opublikowano 30 Stycznia 2015 Hej, avast wywalił mi dziś komunikat o rootkicie, w załączniku przesyłam screen.Ogólnie z komputerem nie ma tragedii, czasem przeglądarka się przywiesza i mieli podczas przeglądania stron.Oto logi:gmer: http://wklej.org/id/1617108/txt/ FRST w załączniku.PS. a przed chwilą wywaliło mi BSODA.. w załączniku przesyłam.Proszę o pomoc! Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2015 Zgłoś Udostępnij Opublikowano 31 Stycznia 2015 Ten "rootkit" wykryty przez GMER to jest komponent adware - uługa "pomocnicza". I nie tylko to jest w systemie, również sterowniki grupy Sambreel (związane z adware Solution Real i Techgile) i inne ślady. Owe sterowniki mogą być przyczyną tajemniczych BSOD. Do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {7668d866-cc70-408f-b874-d683473d0f40}Gw64; C:\Windows\System32\drivers\{7668d866-cc70-408f-b874-d683473d0f40}Gw64.sys [48784 2014-12-21] (StdLib) R1 {886f5d30-5b8b-42ab-98f8-31d062b96dc3}Gw64; C:\Windows\System32\drivers\{886f5d30-5b8b-42ab-98f8-31d062b96dc3}Gw64.sys [48784 2015-01-09] (StdLib) R1 {a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64; C:\Windows\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys [48784 2014-12-13] (StdLib) R1 {d274785e-a122-4588-b510-cd4d0fe10348}Gw64; C:\Windows\System32\drivers\{d274785e-a122-4588-b510-cd4d0fe10348}Gw64.sys [48792 2014-12-13] (StdLib) S4 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-14] (Fuyu LIMITED) [File not signed] S2 Update Techgile; "C:\Program Files (x86)\Techgile\updateTechgile.exe" [X] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1418527843&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1418527843&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418527843&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418527843&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKU\S-1-5-21-973633878-3127659-858757103-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141214 CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2014-12-14] FF user.js: detected! => C:\Users\Ann\AppData\Roaming\Mozilla\Firefox\Profiles\z412yz66.default\user.js C:\Program Files (x86)\Solution Real C:\Program Files (x86)\Techgile C:\ProgramData\WindowsMangerProtect C:\Users\Ann\AppData\Roaming\systweak C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{7668d866-cc70-408f-b874-d683473d0f40}Gw64.sys C:\Windows\System32\drivers\{886f5d30-5b8b-42ab-98f8-31d062b96dc3}Gw64.sys C:\Windows\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys C:\Windows\System32\drivers\{d274785e-a122-4588-b510-cd4d0fe10348}Gw64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EpicScale" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: - Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice. - Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Andziorka Opublikowano 31 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2015 Picasso, dziękuję za odpowiedź! 1. Log po fixie: http://wklej.org/id/1617725/txt/ 2. Avast SafePrice w chrome nie ma. 3. Nowe skany z FRST w załączniku. FRST.txt Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2015 Zgłoś Udostępnij Opublikowano 31 Stycznia 2015 Tylko główny log był potrzebny, resztę usuwam. Avast SafePrice był wcześniej, może usunięcie jego reinstalatora z rejestru w skrypcie FRST było przyczyną zaniku rozszerzenia. Zadania wykonane. Teraz: Uruchom AdwCleaner. Wybierz tylko opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
Andziorka Opublikowano 31 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2015 Proszę: http://wklej.org/id/1617897/txt/ Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2015 Zgłoś Udostępnij Opublikowano 1 Lutego 2015 1. Uruchom AdwCleaner ponownie. Zastosuj Szukaj + Usuń. Następnie: 2. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. Odnośnik do komentarza
Andziorka Opublikowano 1 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2015 Fixlog: http://wklej.org/id/1618776/txt/ Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2015 Zgłoś Udostępnij Opublikowano 1 Lutego 2015 Zadanie wykonane. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Andziorka Opublikowano 1 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2015 Delfix zastosowany i punkty usunięte! Zaktualizowałam sterowniki i BOSD się nie pojawił Dziękuję bardzo! Odnośnik do komentarza
Andziorka Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Witam, avast wykrył rootkita, a gmer ma czerwony wpis ([DISABLED] WindowsMangerProtect ) i również krzyczy. Poniżej raporty: Gmer: http://wklej.org/id/1641223/FRST: http://wklej.org/id/1641226/Addition: http://wklej.org/id/1641227/Shortcut: http://wklej.org/id/1641228/Proszę o pomoc. Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Oba tematy sklejam - to samo adware ponownie nabyte poprzez korzystanie z "downloaderów" portalowych: KLIK. Różnica jest taka, że poprzednio WindowsMangerProtect był protektorem przekierowań isearch.omiga-plus.com, a teraz key-find.com. Do przeprowadzenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-08] (SysTool PasSame LIMITED) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hp&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662" FF user.js: detected! => C:\Users\Ann\AppData\Roaming\Mozilla\Firefox\Profiles\z412yz66.default\user.js FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Ann\AppData\Roaming\Mozilla\Firefox\Profiles\z412yz66.default\extensions\fftoolbar2014@etech.com AlternateDataStreams: C:\Windows:F1E86939425427D5 C:\ProgramData\WindowsMangerProtect EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Andziorka Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Dzięki!Log po fixie: http://wklej.org/id/1641384/Nowy FRST: http://wklej.org/id/1641386/ Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Operacja wykonana. Zastosuj tak jak poprzednio DelFix i wyczyść foldery Przywracania systemu: KLIK. Po użyciu DelFix pozbądź się pliku C:\Delfix.txt. Odnośnik do komentarza
Andziorka Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Wykonanie, dziękuję! Odnośnik do komentarza
Rekomendowane odpowiedzi