Andziorka Opublikowano 30 Stycznia 2015 Zgłoś Udostępnij Opublikowano 30 Stycznia 2015 Hej, avast wywalił mi dziś komunikat o rootkicie, w załączniku przesyłam screen.Ogólnie z komputerem nie ma tragedii, czasem przeglądarka się przywiesza i mieli podczas przeglądania stron.Oto logi:gmer: http://wklej.org/id/1617108/txt/ FRST w załączniku.PS. a przed chwilą wywaliło mi BSODA.. w załączniku przesyłam.Proszę o pomoc! Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2015 Zgłoś Udostępnij Opublikowano 31 Stycznia 2015 Ten "rootkit" wykryty przez GMER to jest komponent adware - uługa "pomocnicza". I nie tylko to jest w systemie, również sterowniki grupy Sambreel (związane z adware Solution Real i Techgile) i inne ślady. Owe sterowniki mogą być przyczyną tajemniczych BSOD. Do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {7668d866-cc70-408f-b874-d683473d0f40}Gw64; C:\Windows\System32\drivers\{7668d866-cc70-408f-b874-d683473d0f40}Gw64.sys [48784 2014-12-21] (StdLib) R1 {886f5d30-5b8b-42ab-98f8-31d062b96dc3}Gw64; C:\Windows\System32\drivers\{886f5d30-5b8b-42ab-98f8-31d062b96dc3}Gw64.sys [48784 2015-01-09] (StdLib) R1 {a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64; C:\Windows\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys [48784 2014-12-13] (StdLib) R1 {d274785e-a122-4588-b510-cd4d0fe10348}Gw64; C:\Windows\System32\drivers\{d274785e-a122-4588-b510-cd4d0fe10348}Gw64.sys [48792 2014-12-13] (StdLib) S4 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-14] (Fuyu LIMITED) [File not signed] S2 Update Techgile; "C:\Program Files (x86)\Techgile\updateTechgile.exe" [X] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1418527843&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1418527843&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418527843&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418527843&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKU\S-1-5-21-973633878-3127659-858757103-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141214 CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2014-12-14] FF user.js: detected! => C:\Users\Ann\AppData\Roaming\Mozilla\Firefox\Profiles\z412yz66.default\user.js C:\Program Files (x86)\Solution Real C:\Program Files (x86)\Techgile C:\ProgramData\WindowsMangerProtect C:\Users\Ann\AppData\Roaming\systweak C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{7668d866-cc70-408f-b874-d683473d0f40}Gw64.sys C:\Windows\System32\drivers\{886f5d30-5b8b-42ab-98f8-31d062b96dc3}Gw64.sys C:\Windows\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys C:\Windows\System32\drivers\{d274785e-a122-4588-b510-cd4d0fe10348}Gw64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EpicScale" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: - Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice. - Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Andziorka Opublikowano 31 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2015 Picasso, dziękuję za odpowiedź! 1. Log po fixie: http://wklej.org/id/1617725/txt/ 2. Avast SafePrice w chrome nie ma. 3. Nowe skany z FRST w załączniku. FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2015 Zgłoś Udostępnij Opublikowano 31 Stycznia 2015 Tylko główny log był potrzebny, resztę usuwam. Avast SafePrice był wcześniej, może usunięcie jego reinstalatora z rejestru w skrypcie FRST było przyczyną zaniku rozszerzenia. Zadania wykonane. Teraz: Uruchom AdwCleaner. Wybierz tylko opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
Andziorka Opublikowano 31 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2015 Proszę: http://wklej.org/id/1617897/txt/ Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2015 Zgłoś Udostępnij Opublikowano 1 Lutego 2015 1. Uruchom AdwCleaner ponownie. Zastosuj Szukaj + Usuń. Następnie: 2. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. Odnośnik do komentarza
Andziorka Opublikowano 1 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2015 Fixlog: http://wklej.org/id/1618776/txt/ Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2015 Zgłoś Udostępnij Opublikowano 1 Lutego 2015 Zadanie wykonane. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Andziorka Opublikowano 1 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2015 Delfix zastosowany i punkty usunięte! Zaktualizowałam sterowniki i BOSD się nie pojawił Dziękuję bardzo! Odnośnik do komentarza
Andziorka Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Witam, avast wykrył rootkita, a gmer ma czerwony wpis ([DISABLED] WindowsMangerProtect ) i również krzyczy. Poniżej raporty: Gmer: http://wklej.org/id/1641223/FRST: http://wklej.org/id/1641226/Addition: http://wklej.org/id/1641227/Shortcut: http://wklej.org/id/1641228/Proszę o pomoc. Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Oba tematy sklejam - to samo adware ponownie nabyte poprzez korzystanie z "downloaderów" portalowych: KLIK. Różnica jest taka, że poprzednio WindowsMangerProtect był protektorem przekierowań isearch.omiga-plus.com, a teraz key-find.com. Do przeprowadzenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-08] (SysTool PasSame LIMITED) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hp&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662" FF user.js: detected! => C:\Users\Ann\AppData\Roaming\Mozilla\Firefox\Profiles\z412yz66.default\user.js FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Ann\AppData\Roaming\Mozilla\Firefox\Profiles\z412yz66.default\extensions\fftoolbar2014@etech.com AlternateDataStreams: C:\Windows:F1E86939425427D5 C:\ProgramData\WindowsMangerProtect EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Andziorka Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Dzięki!Log po fixie: http://wklej.org/id/1641384/Nowy FRST: http://wklej.org/id/1641386/ Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Operacja wykonana. Zastosuj tak jak poprzednio DelFix i wyczyść foldery Przywracania systemu: KLIK. Po użyciu DelFix pozbądź się pliku C:\Delfix.txt. Odnośnik do komentarza
Andziorka Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Wykonanie, dziękuję! Odnośnik do komentarza
Rekomendowane odpowiedzi