materacc
(Weraa755)
23 Maj 2015 07:59
#1
Cześć, na początku chce powiedzieć, że jestem na tym forum pierwszy raz i nie wiem czy pisze w dobrym dziale. Przepraszam też za chaotyczność.
Kilka dni temu przy pobieraniu jakiegoś programu, zainstalował mi sie jakiś Search Protect, ikonka w prawym dolnym rogu. Programu nie dało sie odinstalować w panelu sterowania bo po prostu go nie było. Na poczatku nie zauważyłam żadnych zmian na kompie.
Kilka dni później nie dało sie już normalnie odpalić komputera, do teraz włącza sie tylko poprzez reset, ale nie wiem czy ma to coś wspólnego z tymi programami. Zauważyłam wtedy że ikonka search protect po prostu zniknęła, a przy przeglądaniu internetu zaczęły pojawiać sie okienka, że ‘‘jakiś program przestał działać’’ i pare wirusów. Przeglądarka działała trochę ociężale.
Poczytałam troche na necie i zresetowałam już firefoxa i póki co jest chyba ok, ale nadal wolniej działa, poza tym na chrome (którego i tak nie używam) chyba nadal siedzi. Na komputerze znalazłam jakiś XTab (w programach na dysku C). Nie da sie go usunąć przez ‘‘odmowe dostępu’’.
Dziś po odpaleniu (w zasadzie zresetowaniu) kompa antywirus mi wyświetlił komunikat że znaleziono rootkita [?]. Avast zalecił usunięcie więc to zrobiłam, ale nadal nie wiem co zrobić z tym XTabem, wie ktoś jak sobie z tym poradzić? I czy mogę mieć pewność, że ten rootkit został usunięty?
materacc
(Weraa755)
23 Maj 2015 09:07
#3
Atis
(Atis)
23 Maj 2015 09:23
#4
W panelu sterowania odinstaluj:
do-search uninstall
McAfee Security Scan Plus
Qtrax Player
Remote Desktop Access
Update for PriceMeter
Yahoo! Companion
Pobierz i uruchom AdwCleaner Kliknij Scan i później Cleaning.
Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
materacc
(Weraa755)
23 Maj 2015 09:50
#5
Chwile po rozpoczęciu skanowania poprzez AdwCleaner wyświetla mi się komunikat z errorem:
‘‘Array variable has incorrect number of subscripts or subscript dimension range exceeded’’
Atis
(Atis)
23 Maj 2015 09:59
#6
Pobierz najnowszą wersję z podanego linku.
materacc
(Weraa755)
23 Maj 2015 10:11
#7
Pobrałam ją. Spróbowałam jeszcze raz i jest to samo.
Atis
(Atis)
23 Maj 2015 11:00
#8
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [HP Software Update] => C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe [96056 2013-05-30] (Hewlett-Packard)
HKU\S-1-5-21-1275210071-1757981266-839522115-500\...\Run: [MSMSGS] => C:\Program Files\Messenger\msmsgs.exe [1695232 2008-04-14] (Microsoft Corporation)
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File
BootExecute: autocheck autochk * aswBoot.exe /A:"* " /L:"1045" /KBD:2 /dir:"C:\Program Files\AVAST Software\Avast"
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yahoo.com/?fr=hp-avast&type=agc511
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKU\S-1-5-21-1275210071-1757981266-839522115-1201\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yahoo.com/?fr=hp-avast&type=agc511
HKU\S-1-5-21-1275210071-1757981266-839522115-1201\Software\Microsoft\Internet Explorer\Main,Search Page = https://search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms}
HKU\S-1-5-21-1275210071-1757981266-839522115-1201\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.yahoo.com/?fr=hp-avast&type=agc511
HKU\S-1-5-21-1275210071-1757981266-839522115-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1431550760&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=ST3250410AS_9RY2EXZEXXXX9RY2EXZE
HKU\S-1-5-21-1275210071-1757981266-839522115-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1431550760&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=ST3250410AS_9RY2EXZEXXXX9RY2EXZE&q={searchTerms}
HKU\S-1-5-21-1275210071-1757981266-839522115-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1431550760&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=ST3250410AS_9RY2EXZEXXXX9RY2EXZE
HKU\S-1-5-21-1275210071-1757981266-839522115-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1431550760&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=ST3250410AS_9RY2EXZEXXXX9RY2EXZE&q={searchTerms}
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope value is missing
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-1201 -> DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-1201 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-1201 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-1201 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-1201 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
BHO: Yahoo! Companion BHO -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll [2005-04-14] (Yahoo! Inc.)
BHO: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.10.106\McAfeeMSS_IE.dll [2014-11-04] (McAfee, Inc.)
BHO: No Name -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> No File
Toolbar: HKLM - &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll [2005-04-14] (Yahoo! Inc.)
Toolbar: HKU\S-1-5-21-1275210071-1757981266-839522115-500 -> &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll [2005-04-14] (Yahoo! Inc.)
FF HKLM\...\Firefox\Extensions: [searchffv2@gmail.com] - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\aynrp196.default\extensions\searchffv2@gmail.com
FF HKLM\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\aynrp196.default\extensions\sweetsearch@gmail.com
FF HKLM\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\aynrp196.default\extensions\quick_searchff@gmail.com
FF HKU\S-1-5-21-1275210071-1757981266-839522115-1201\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
FF Extension: McAfee Security Scan Plus - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-10-28]
FF HKU\S-1-5-21-1275210071-1757981266-839522115-500\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
CHR Extension: (Bookmark Manager) - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-22]
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [mocblcnaofikinigmceddfghppkkjbog] - C:\Documents and Settings\Administrator\Dane aplikacji\PlusWinks\PlusWinks.crx [Not Found]
CHR HKU\S-1-5-21-1275210071-1757981266-839522115-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\CRE\pacgpkgadgmibnhpdidcnfafllnmeomc.crx [2012-04-17]
C:\Documents and Settings\Administrator\Dane aplikacji\PlusWinks
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\CRE
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.10.106\McCHSvc.exe [235696 2014-11-04] (McAfee, Inc.)
U3 ad3cgsn2; C:\WINDOWS\system32\Drivers\ad3cgsn2.sys [0] (Microsoft Corporation) <==== ATTENTION (zero byte File/Directory)
S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S4 IntelIde; No ImagePath
S2 StarOpen; No ImagePath
U1 WS2IFSL; No ImagePath
S2 zumbus; system32\DRIVERS\zumbus.sys [X]
C:\Program Files\Yahoo!
2015-05-22 23:40 - 2015-05-22 23:40 - 00000000 ____ D () C:\AdwCleaner
2015-05-13 23:00 - 2015-05-23 09:38 - 00000000 ____ D () C:\Program Files\XTab
2015-05-13 23:00 - 2015-05-23 09:38 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect
2015-05-13 23:00 - 2015-05-20 15:43 - 00000000 ____ D () C:\Documents and Settings\Administrator\Dane aplikacji\do-search
2015-05-13 23:00 - 2015-05-13 23:00 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\IHProtectUpDate
2015-05-13 22:59 - 2015-05-13 23:44 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\MailUpdate
2015-05-13 22:59 - 2015-05-13 23:00 - 00000000 ____ D () C:\Documents and Settings\Administrator\Dane aplikacji\MailUpdate
2012-12-09 13:03 - 2012-12-09 13:03 - 0000288 _____ () C:\Documents and Settings\Administrator\Dane aplikacji\.backup.dm
2013-06-30 15:58 - 2013-06-30 15:58 - 0030894 _____ () C:\Documents and Settings\Administrator\Dane aplikacji\speedanalysis.ico
Task: C:\WINDOWS\Tasks\At5.job => C:\DOCUME~1\ADMINI~1\DANEAP~1\PRICEM~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\ADMINI~1\DANEAP~1\BABSOL~1\Shared\BabMaint.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At2.job
C:\Windows\Tasks\At3.job
C:\Windows\Tasks\At4.job
C:\Windows\Tasks\At5.job
InternetURL: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mobogenie\Version\OldVersion\Mobogenie\Mobogenie.url -> hxxp://www.voga360.com
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mobogenie
ShortcutWithArgument: C:\Documents and Settings\Administrator\Pulpit\Qtrax Player.lnk -> C:\Program Files\Microsoft Silverlight\sllauncher.exe (Microsoft Corporation) -> 2141499405.portal.qtrax.com
ShortcutWithArgument: C:\Documents and Settings\Administrator\Menu Start\Programy\Qtrax Player.lnk -> C:\Program Files\Microsoft Silverlight\sllauncher.exe (Microsoft Corporation) -> 2141499405.portal.qtrax.com
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
materacc
(Weraa755)
23 Maj 2015 11:32
#9
Po utworzeniu pliku Fixlog program poprosił o ponowne uruchomienie komputera, po zgaszeniu komp znowu nie chciał sie odpalić (tak jak pisałam w 1 poście) i musiałam go sama resetować.
Fixlog http://www.wklej.org/id/1719118/
FRST http://www.wklej.org/id/1719122/
Atis
(Atis)
23 Maj 2015 12:17
#10
Pobierz i uruchom TDSSKiller
Kliknij Start scan i jeśli coś wykryje wybierz Skip
Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt
Skasuj folder C:\FRST
Wyłącz i ponownie włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK
Odinstaluj:
Adobe Flash Player 17 NPAPI
Adobe Flash Player ActiveX
Adobe Reader XI
Adobe Shockwave Player 12.0
Java 8 Update 31
Microsoft Silverlight
Zainstaluj:
Flash Player 17.0.0.188 NPAPI
Flash Player 17.0.0.188 ActiveX
Adobe Reader XI 11.0.11
Java 8 Update 45
Silverlight 5.1.40416.0
Internet Explorer 8
materacc
(Weraa755)
23 Maj 2015 15:30
#11
TDSSKiller http://www.wklej.org/id/1719358/
Malwarebytes Anti-Malware wykrył potencjalne zagrożenia i kilka malware, wszystkie usunęłam, ale nie moge w ogóle ponownie uruchomić komputera, nic sie nie dzieje po prostu i musze resetować. Mam rozumieć, że inna jest tego przyczyna?
Folderu Xtab też już nie ma, ale na kompie mam program Mobogenie, mam to usunąć czy nie ma takiej potrzeby?
Atis
(Atis)
23 Maj 2015 15:51
#12
Skoro nie można w ogóle uruchomić komputera, to nie można również zresetować
Żeby zresetować trzeba najpierw uruchomić komputer.
materacc
(Weraa755)
23 Maj 2015 16:02
#13
Przepraszam, że tak niejasno.
Jak próbuję normalnie włączyć to owszem komputer sie uruchamia, ale zachowuje sie jakby chciał i nie mógł, bo nic sie dalej nie dzieje, monitor też w ogóle nie reaguje i widze tylko czarny ekran. Dopiero po zresetowaniu komp normalnie całkiem odpala.
Powyżej chodziło mi o to, że po zainstalowaniu choćby IE, program prosi o ponowne uruchomienie komputera. Klikam ‘‘Uruchom ponownie’’ i nic się nie dzieje.
Atis
(Atis)
23 Maj 2015 20:32
#14
Możliwe że to jest problem sprzętowy skoro monitor nie reaguje.