Problem z Search Protect, XTab, rootkit

materacc · 23 Maj 2015 07:59

Cześć, na początku chce powiedzieć, że jestem na tym forum pierwszy raz i nie wiem czy pisze w dobrym dziale. Przepraszam też za chaotyczność.

Kilka dni temu przy pobieraniu jakiegoś programu, zainstalował mi sie jakiś Search Protect, ikonka w prawym dolnym rogu. Programu nie dało sie odinstalować w panelu sterowania bo po prostu go nie było. Na poczatku nie zauważyłam żadnych zmian na kompie.

Kilka dni później nie dało sie już normalnie odpalić komputera, do teraz włącza sie tylko poprzez reset, ale nie wiem czy ma to coś wspólnego z tymi programami. Zauważyłam wtedy że ikonka search protect po prostu zniknęła, a przy przeglądaniu internetu zaczęły pojawiać sie okienka, że ‘‘jakiś program przestał działać’’ i pare wirusów. Przeglądarka działała trochę ociężale.

Poczytałam troche na necie i zresetowałam już firefoxa i póki co jest chyba ok, ale nadal wolniej działa, poza tym na chrome (którego i tak nie używam) chyba nadal siedzi. Na komputerze znalazłam jakiś XTab (w programach na dysku C). Nie da sie go usunąć przez ‘‘odmowe dostępu’’.

Dziś po odpaleniu (w zasadzie zresetowaniu) kompa antywirus mi wyświetlił komunikat że znaleziono rootkita [?]. Avast zalecił usunięcie więc to zrobiłam, ale nadal nie wiem co zrobić z tym XTabem, wie ktoś jak sobie z tym poradzić? I czy mogę mieć pewność, że ten rootkit został usunięty?

Atis · 23 Maj 2015 08:31

http://forum.dobreprogramy.pl/regulamin-dzia%C5%82u-bezpiecze%C5%84stwo-t503173/

materacc · 23 Maj 2015 09:07

FRST http://www.wklej.org/id/1719022/

Addition http://www.wklej.org/id/1719026/

Shortcut http://www.wklej.org/id/1719030/

Atis · 23 Maj 2015 09:23

W panelu sterowania odinstaluj:

do-search uninstall

McAfee Security Scan Plus

Qtrax Player

Remote Desktop Access

Update for PriceMeter

Yahoo! Companion

Pobierz i uruchom AdwCleaner Kliknij Scan i później Cleaning.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

materacc · 23 Maj 2015 09:50

Chwile po rozpoczęciu skanowania poprzez AdwCleaner wyświetla mi się komunikat z errorem:

‘‘Array variable has incorrect number of subscripts or subscript dimension range exceeded’’

Atis · 23 Maj 2015 09:59

Pobierz najnowszą wersję z podanego linku.

materacc · 23 Maj 2015 10:11

Pobrałam ją. Spróbowałam jeszcze raz i jest to samo.

Atis · 23 Maj 2015 11:00

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [HP Software Update] => C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe [96056 2013-05-30] (Hewlett-Packard)
HKU\S-1-5-21-1275210071-1757981266-839522115-500\...\Run: [MSMSGS] => C:\Program Files\Messenger\msmsgs.exe [1695232 2008-04-14] (Microsoft Corporation)
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File
BootExecute: autocheck autochk * aswBoot.exe /A:"* " /L:"1045" /KBD:2 /dir:"C:\Program Files\AVAST Software\Avast"
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yahoo.com/?fr=hp-avast&type=agc511
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKU\S-1-5-21-1275210071-1757981266-839522115-1201\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yahoo.com/?fr=hp-avast&type=agc511
HKU\S-1-5-21-1275210071-1757981266-839522115-1201\Software\Microsoft\Internet Explorer\Main,Search Page = https://search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms}
HKU\S-1-5-21-1275210071-1757981266-839522115-1201\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.yahoo.com/?fr=hp-avast&type=agc511
HKU\S-1-5-21-1275210071-1757981266-839522115-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1431550760&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=ST3250410AS_9RY2EXZEXXXX9RY2EXZE
HKU\S-1-5-21-1275210071-1757981266-839522115-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1431550760&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=ST3250410AS_9RY2EXZEXXXX9RY2EXZE&q={searchTerms}
HKU\S-1-5-21-1275210071-1757981266-839522115-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1431550760&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=ST3250410AS_9RY2EXZEXXXX9RY2EXZE
HKU\S-1-5-21-1275210071-1757981266-839522115-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1431550760&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=ST3250410AS_9RY2EXZEXXXX9RY2EXZE&q={searchTerms}
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope value is missing
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-1201 -> DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-1201 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-1201 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-1201 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-1201 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
BHO: Yahoo! Companion BHO -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll [2005-04-14] (Yahoo! Inc.)
BHO: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.10.106\McAfeeMSS_IE.dll [2014-11-04] (McAfee, Inc.)
BHO: No Name -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> No File
Toolbar: HKLM - &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll [2005-04-14] (Yahoo! Inc.)
Toolbar: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll [2005-04-14] (Yahoo! Inc.)
FF HKLM\...\Firefox\Extensions: [searchffv2@gmail.com] - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\aynrp196.default\extensions\searchffv2@gmail.com
FF HKLM\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\aynrp196.default\extensions\sweetsearch@gmail.com
FF HKLM\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\aynrp196.default\extensions\quick_searchff@gmail.com
FF HKU\S-1-5-21-1275210071-1757981266-839522115-1201\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
FF Extension: McAfee Security Scan Plus - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-10-28]
FF HKU\S-1-5-21-1275210071-1757981266-839522115-500\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
CHR Extension: (Bookmark Manager) - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-22]
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [mocblcnaofikinigmceddfghppkkjbog] - C:\Documents and Settings\Administrator\Dane aplikacji\PlusWinks\PlusWinks.crx [Not Found]
CHR HKU\S-1-5-21-1275210071-1757981266-839522115-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\CRE\pacgpkgadgmibnhpdidcnfafllnmeomc.crx [2012-04-17]
C:\Documents and Settings\Administrator\Dane aplikacji\PlusWinks
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\CRE
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.10.106\McCHSvc.exe [235696 2014-11-04] (McAfee, Inc.)
U3 ad3cgsn2; C:\WINDOWS\system32\Drivers\ad3cgsn2.sys [0] (Microsoft Corporation) <==== ATTENTION (zero byte File/Directory)
S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S4 IntelIde; No ImagePath
S2 StarOpen; No ImagePath
U1 WS2IFSL; No ImagePath
S2 zumbus; system32\DRIVERS\zumbus.sys [X]
C:\Program Files\Yahoo!
2015-05-22 23:40 - 2015-05-22 23:40 - 00000000 ____ D () C:\AdwCleaner
2015-05-13 23:00 - 2015-05-23 09:38 - 00000000 ____ D () C:\Program Files\XTab
2015-05-13 23:00 - 2015-05-23 09:38 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect
2015-05-13 23:00 - 2015-05-20 15:43 - 00000000 ____ D () C:\Documents and Settings\Administrator\Dane aplikacji\do-search
2015-05-13 23:00 - 2015-05-13 23:00 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\IHProtectUpDate
2015-05-13 22:59 - 2015-05-13 23:44 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\MailUpdate
2015-05-13 22:59 - 2015-05-13 23:00 - 00000000 ____ D () C:\Documents and Settings\Administrator\Dane aplikacji\MailUpdate
2012-12-09 13:03 - 2012-12-09 13:03 - 0000288 _____ () C:\Documents and Settings\Administrator\Dane aplikacji\.backup.dm
2013-06-30 15:58 - 2013-06-30 15:58 - 0030894 _____ () C:\Documents and Settings\Administrator\Dane aplikacji\speedanalysis.ico
Task: C:\WINDOWS\Tasks\At5.job => C:\DOCUME~1\ADMINI~1\DANEAP~1\PRICEM~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\ADMINI~1\DANEAP~1\BABSOL~1\Shared\BabMaint.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At2.job
C:\Windows\Tasks\At3.job
C:\Windows\Tasks\At4.job
C:\Windows\Tasks\At5.job
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mobogenie\Version\OldVersion\Mobogenie\Mobogenie.url -> hxxp://www.voga360.com
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mobogenie
ShortcutWithArgument: C:\Documents and Settings\Administrator\Pulpit\Qtrax Player.lnk -> C:\Program Files\Microsoft Silverlight\sllauncher.exe (Microsoft Corporation) -> 2141499405.portal.qtrax.com
ShortcutWithArgument: C:\Documents and Settings\Administrator\Menu Start\Programy\Qtrax Player.lnk -> C:\Program Files\Microsoft Silverlight\sllauncher.exe (Microsoft Corporation) -> 2141499405.portal.qtrax.com
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

materacc · 23 Maj 2015 11:32

Po utworzeniu pliku Fixlog program poprosił o ponowne uruchomienie komputera, po zgaszeniu komp znowu nie chciał sie odpalić (tak jak pisałam w 1 poście) i musiałam go sama resetować.

Fixlog http://www.wklej.org/id/1719118/

FRST http://www.wklej.org/id/1719122/

Atis · 23 Maj 2015 12:17

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt

Skasuj folder C:\FRST

Wyłącz i ponownie włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Odinstaluj:

Adobe Flash Player 17 NPAPI

Adobe Flash Player ActiveX

Adobe Reader XI

Adobe Shockwave Player 12.0

Java 8 Update 31

Microsoft Silverlight

Zainstaluj:

Flash Player 17.0.0.188 NPAPI

Flash Player 17.0.0.188 ActiveX

Adobe Reader XI 11.0.11

Java 8 Update 45

Silverlight 5.1.40416.0

Internet Explorer 8

materacc · 23 Maj 2015 15:30

TDSSKiller http://www.wklej.org/id/1719358/

Malwarebytes Anti-Malware wykrył potencjalne zagrożenia i kilka malware, wszystkie usunęłam, ale nie moge w ogóle ponownie uruchomić komputera, nic sie nie dzieje po prostu i musze resetować. Mam rozumieć, że inna jest tego przyczyna?

Folderu Xtab też już nie ma, ale na kompie mam program Mobogenie, mam to usunąć czy nie ma takiej potrzeby?

Atis · 23 Maj 2015 15:51

Skoro nie można w ogóle uruchomić komputera, to nie można również zresetować

Żeby zresetować trzeba najpierw uruchomić komputer.

materacc · 23 Maj 2015 16:02

Przepraszam, że tak niejasno.

Jak próbuję normalnie włączyć to owszem komputer sie uruchamia, ale zachowuje sie jakby chciał i nie mógł, bo nic sie dalej nie dzieje, monitor też w ogóle nie reaguje i widze tylko czarny ekran. Dopiero po zresetowaniu komp normalnie całkiem odpala.

Powyżej chodziło mi o to, że po zainstalowaniu choćby IE, program prosi o ponowne uruchomienie komputera. Klikam ‘‘Uruchom ponownie’’ i nic się nie dzieje.

Atis · 23 Maj 2015 20:32

Możliwe że to jest problem sprzętowy skoro monitor nie reaguje.

materacc · 24 Maj 2015 12:23

Ok, dziekuje za pomoc