Rootkit wykryty przez avast, problemy z komp - logi

**Posty:** 6 · przez **kassi** 19 Sie 2014, 22:57

Drodzy Forumowicze,
na początku chciałabym zaznaczyć, że jestem laikiem w dziedzinie komputerów itd. więc z góry przepraszam za jakieś złe sformułowania i problemy ze zrozumieniem czegoś.
Mam Windowsa 7, 32-bit i mój avast wyświetlił mi dzisiaj komunikat, że wykrył rootkita i że trzeba natychmiast usunąć plik i uruchomić ponownie komputer z równoczesnym skanowaniem dysku. Tak też zrobiłam. Nie wykryto zrażonych plików a po chwili od ponownego uruchomienia komunikat pojawił się ponownie. Poczytałam trochę na tym forum i zrobiłam tak:
usunęłam wirtualne napędy
wyłączyłam sterowniki sptd za pomocą programu Defogger
skan OTL
skan GMER
Bardzo proszę o przejrzenie logów.
Dodam jeszcze, że od pewnego czasu mam problemy z laptopem: często się "wiesza", przeglądarki (Mozilla i Chrome) też są mulaste (często jest brak odpowiedzi i wyskakują jakieś błędy), kilkanaście razy pojawia się komunikat "błąd skryptu..." itp.

Z góry dziękuję za każdą pomoc

**Posty:** 4765 · przez **ordynat** 20 Sie 2014, 10:44

GMER nie wykrył żadnego Rootkita.
Tak więc to fałszywy alarm Avasta.

1) Odinstaluj:
"FindRight" = FindRight
"coupon downloader" = coupon downloader

2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
MOD - [2014-08-19 20:39:19 | 000,096,544 | ---- | M] () -- C:\Program Files\FindRight\bin\FindRight.BrowserAdapter.exe
MOD - [2014-08-19 20:39:18 | 000,195,360 | ---- | M] () -- C:\Program Files\FindRight\bin\FindRightBAApp.dll
SRV - [2014-08-17 18:59:30 | 000,323,360 | ---- | M] () [Auto | Running] -- C:\Program Files\FindRight\updateFindRight.exe -- (Update FindRight)
SRV - [2014-08-17 18:58:21 | 000,323,360 | ---- | M] () [Auto | Running] -- C:\Program Files\FindRight\bin\utilFindRight.exe -- (Util FindRight)
SRV - [2014-05-01 16:37:44 | 000,150,528 | ---- | M] () [Disabled | Stopped] -- c:\Program Files\CouponDownloader\CouponDownloaderService.exe -- (CouponDownloaderService)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VirtualDVD.sys -- (VirtualDVD)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\admin\AppData\Local\Temp\uwddakob.sys -- (uwddakob)
DRV - [2014-05-19 14:49:06 | 000,052,920 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\Windows\System32\drivers\{42e50651-9669-456e-9081-d5a836274274}w.sys -- ({42e50651-9669-456e-9081-d5a836274274}w)
DRV - [2014-04-24 12:33:38 | 000,052,920 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\Windows\System32\drivers\{42e50651-9669-456e-9081-d5a836274274}Gw.sys -- ({42e50651-9669-456e-9081-d5a836274274}Gw)
O4 - HKU\S-1-5-21-984394750-3622745416-3098359950-1000..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found

:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-984394750-3622745416-3098359950-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

===============================================================================

Error - 2014-08-19 14:57:12 | Computer Name = admin-Komputer | Source = WinMgmt | ID = 10
Description =

Aby automatycznie rozwiązać ten problem, kliknij > Fix.it. na stronie http://go.microsoft.com/?linkid=9775756
Następnie kliknij przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonaj kroki w kreatorze Fix.it.
(Link zapasowy > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi )
.

Autor postu otrzymał pochwałę

**Posty:** 6 · przez **kassi** 20 Sie 2014, 22:09

Bardzo dziękuję za odpowiedź i pomoc.

1) odinstalowałam FindRight, ale przy przy próbie usunięcia coupon downloader wyskoczył alert avasta, że wykryto zagrożenie i chyba przeniesiono go do kwarantanny

2) raport z AdwCleaner dostałam taki: C:\AdwCleaner\AdwCleaner[S0].txt a nie C:\AdwCleaner\AdwCleaner[S].txt nie wiem czy to ma znaczenie

3) w załącznikach dodaję wszystko co udało mi się zrobić i jeszcze zrzut kwarantanny Avasta przed wykonaniem tych wszystkich czynności bo tam jakiś Rootkit chyba jest ale wcześniej znaleziony

4) ostatni podpunkt (ten Fix.it) zrobiłam po Adwcleaner i OTL

Jeszcze raz dziękuję za poświęcony czas

**Posty:** 4765 · przez **ordynat** 21 Sie 2014, 02:38

Z obrazka wynika, że Avast nie wykrył żadnego Rootkita.

Do Notatnika wklej:

Kod: Zaznacz wszystko: Windows Registry Editor Version 5.00 [HKEY_USERS\S-1-5-21-984394750-3622745416-3098359950-1000\software\microsoft\windows\currentversion\run] "Yahoo! Search"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

Kończymy:
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
.

Autor postu otrzymał pochwałę

**Posty:** 6 · przez **kassi** 21 Sie 2014, 11:07

To teraz przepraszam za głupie pytania ale do notatnika trzeba wkleić tekst bez tego "KOD: ZAZNACZ WSZYSTKO" prawda?
Jak chciałam włączyć AdwCleaner to mi wyskoczył komunikat, że używam starej wersji i przekierowanie do pobrania nowej, więc ją pobrałam i dopiero wtedy odinstalowałam i nie wiem teraz czy to miało sens

OTL usunięty.

W każdym razie od wczoraj przeglądarki śmigają jak opętane

już zapomniałam, ze znalezienie czegokolwiek w sieci może trwać kilka minut a nie godzinę z kilkukrotnym uruchamianiem komputera. Ogólnie wszystko działa o wiele sprawniej bez zawieszania, braku odpowiedzi różnych programów itp.
Bardzo, bardzo dziękuję za pomoc!

Mam jeszcze pytanie, czy mogę już z powrotem zainstalować deamon tools i czy wcześniej mam włączyć te sterowniki sptd?

**Posty:** 4765 · przez **ordynat** 21 Sie 2014, 11:27

do notatnika trzeba wkleić tekst bez tego "KOD: ZAZNACZ WSZYSTKO" prawda?

Tak, bez.

jak chciałam włączyć AdwCleaner to mi wyskoczył komunikat, że używam starej wersji i przekierowanie do pobrania nowej, więc ją pobrałam i dopiero wtedy odinstalowałam i nie wiem teraz czy to miało sens

nie miało sensu, bo to już był końcowy krok.

czy mogę już z powrotem zainstalować deamon tools i czy wcześniej mam włączyć te sterowniki sptd?

Tak, możesz już zainstalować Daemona.
Myślę, że zainstaluje się automatycznie razem ze sterownikiem "sptd.sys".
.

**Posty:** 6 · przez **kassi** 21 Sie 2014, 11:55

To jeszcze raz DZIĘKUJĘ

Kto jest na forum