Piotrek89 Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Witam. Mój komputer złapał rootkita i komputer nie może sobie z nim poradzić, bo powraca po każdym restarcie systemu, jako ProtectWindowsManager.exe w folderze ProgramData. Musiał mi się zainstalować albo podczas aktualizacji sterowników z karty grafiki lub podczas próby zainstalowania, a następnie wypakowania patcha z polskiej wersji Worms World Party za pomocą pobieranych z Internetu programów (i tak się nie udało, bo patch jest jakiś wadliwy). Te programy to: Universal Extractor, PE Explorer, a rootkit musiał się zainstalować razem z nimi. Dziwne, że dopiero po miesiącu wyszło, że jest coś nie tak. Skany starałem się robić w tych programach, gdy po restarcie komputera Avast jeszcze nie wykrywał tego programu jako zagrożenia. Gdyby jednak nie było widać tego rootkita, to wyłączę antywirusa. gm4.txt Addition.txt Shortcut.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Posługujesz się starszą wersją FRST, najnowsza jest z wczoraj. WindowsMangerProtect to protektor adware, nabyty w grupie innych adware na jeden z tych sposobów: KLIK. Przypuszczalnie uruchomiłeś jakiś "downloader" portalowy, programy zasadnicze mogą być niewinne. Wg raportów usługa WindowsMangerProtect jest wyłączona (obiekt nieczynny), należy ją po prostu w całości usunąć. Dodatkowo jeszcze są ślady przekierowań isearch.omiga-plus.com. Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-25] (Fuyu LIMITED) [File not signed] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419542396&from=cor&uid=WDCXWD800BB-55JKC0_WD-WCAMD471537215372&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419542396&from=cor&uid=WDCXWD800BB-55JKC0_WD-WCAMD471537215372&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419542396&from=cor&uid=WDCXWD800BB-55JKC0_WD-WCAMD471537215372 Task: {05F55DCD-84DC-4552-9EF0-78D50BAC2708} - System32\Tasks\{25922866-79D0-4659-9DCC-1FF082DA0829} => pcalua.exe -a C:\Users\Krz\Desktop\1153320512\install.exe -d C:\Users\Krz\Desktop\1153320512 Task: {6E9304E0-8A19-4C36-B2BF-7E2B17FBB320} - System32\Tasks\{F9B0ABA5-EF81-4953-9722-9E963F3C5227} => pcalua.exe -a C:\Users\Krz\Desktop\1252073814-Editing-Kit\NFS5carpartsEditor.v0.8d\setup.exe -d C:\Users\Krz\Desktop\1252073814-Editing-Kit\NFS5carpartsEditor.v0.8d CustomCLSID: HKU\S-1-5-21-1842147718-165999632-1959978785-1001_Classes\CLSID\{8E1BC32D-DFF4-DC05-18E0-06A277D07930}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1842147718-165999632-1959978785-1001_Classes\CLSID\{9AE11967-97BC-B56D-7CF7-EA1B9D5A80E6}\InprocServer32 -> No File Path HKU\S-1-5-21-1842147718-165999632-1959978785-1001\Software\Classes\.exe: => HKU\S-1-5-21-1842147718-165999632-1959978785-1001\Software\Classes\exefile: C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\Krz\AppData\Local\pcc.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Napraw uszkodzony niepoprawnym czyszczeniem Omiga specjalny skrót IE. W pasku eksploratora wklej ścieżkę i ENTER: C:\Users\Krz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Piotrek89 Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Tamten program był akurat nieaktywny, bo w innym wypadku znalazłby go Avast. Na szczęście już go nie ma Menu opcji w Firefoxie zmieniło się jakiś czas temu, poza tym bez problemu FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Tamten program był akurat nieaktywny, bo w innym wypadku znalazłby go Avast. Nie rozumiem do czego to odnosisz. Nieaktywna usługa WindowsMangerProtect kierująca na plik ProtectWindowsManager.exe to właśnie ów tytułowy "rootkit". Menu opcji w Firefoxie zmieniło się jakiś czas temu, poza tym bez problemu Dlatego uwzględniłam dwie nazwy opcji, starą i nową. Fix wykonany. Na wszelki wypadek jeszcze uruchom AdwCleaner. Wybierz tylko opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
Piotrek89 Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Niestety nie ustrzegłem się tego błędu i jednocześnie usunąłem. Wrzucę więc oba raporty AdwCleanerR0.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 OK, AdwCleaner dokasował szczątki adware. Ostatni skrypt do FRST - do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Krz\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Krz\Desktop\b2ucwwue.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Odnośnik do komentarza
Piotrek89 Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 W załączniku finalny log. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Zaaplikuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj systemowy IE: KLIK. To tyle. Odnośnik do komentarza
Piotrek89 Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Wszystko wykonane. Dziekuję za pomoc DelFix.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi