sprawdzenie logów - rookit

Post17 lut 2015, 19:45

Witam, mam problem z lapkiem i jestem pewien że jak zwykle uzyskam to pomoc. Wyskakuje masa reklam - zapewne został ściągnięty jakiś syf i dodatkowo system nie pracuje przez to stabilnie. Win7 32bit. Zamieszczam obowiązkowe logi

OTL
Dostępne tylko dla zarejestrowanych użytkowników
GMER
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
FRST
frst Dostępne tylko dla zarejestrowanych użytkowników
addition Dostępne tylko dla zarejestrowanych użytkowników
shortcut Dostępne tylko dla zarejestrowanych użytkowników

Proszę o pomoc i z góry dziękuję

Post17 lut 2015, 20:25

O jakim Rootkicie mówisz? Ja w logach nie widzę żadnego Rootkita.

1. Otwórz notatnik i wklej:

CloseProcesses:
S1 wpnfd_1_10_0_6; system32\drivers\wpnfd_1_10_0_6.sys [X]
S1 {f81878fa-25e9-442d-8ada-79658b6520f2}Gw; system32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw.sys [X]
U3 kwrdipog; \??\C:\Users\Patryk\AppData\Local\Temp\kwrdipog.sys [X]
R1 {16a92140-918d-4afb-9edb-46f22437bb10}Gw; C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}Gw.sys [43160 2015-01-26] (StdLib)
R1 {3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}Gw; C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}Gw.sys [43152 2015-02-07] (StdLib)
R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}Gw; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw.sys [43160 2015-01-19] (StdLib)
R1 {915cb94b-b4d8-4c0e-83b4-61409471b1c3}Gw; C:\Windows\System32\drivers\{915cb94b-b4d8-4c0e-83b4-61409471b1c3}Gw.sys [43160 2015-01-23] (StdLib)
R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw.sys [43160 2015-02-07] (StdLib)
R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}Gw; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw.sys [43160 2015-01-16] (StdLib)
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-11] (Fuyu LIMITED) [File not signed]
C:\ProgramData\WindowsMangerProtect
R2 Update Dynamo Combo; C:\Program Files\Dynamo Combo\updateDynamoCombo.exe [410864 2015-02-08] ()
R2 Util Dynamo Combo; C:\Program Files\Dynamo Combo\bin\utilDynamoCombo.exe [410864 2015-02-08] ()
C:\Program Files\Dynamo Combo
R2 serverca; C:\Users\Patryk\AppData\Local\ConvertAd\CASrv.exe [181248 2015-01-13] () [File not signed]
S4 servervo; C:\Users\Patryk\AppData\Roaming\VOPackage\VOsrv.exe [133632 2015-01-11] () [File not signed] <==== ATTENTION
C:\Users\Patryk\AppData\Roaming\VOPackage
C:\Users\Patryk\AppData\Local\ConvertAd
R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158864 2014-12-29] (XTab system)
C:\Program Files\XTab
R2 22134214; c:\Program Files\Super Optimizer\SupOptStats.dll [1645160 2015-02-17] ()
S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-07] (globalUpdate) [File not signed]
S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-07] (globalUpdate) [File not signed]
C:\Program Files\globalUpdate
c:\Program Files\Super Optimizer
C:\Users\Patryk\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcdeaofcapijfmeopimkgcepdpbdepnb
C:\Users\Patryk\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkiapdenkapkopffbikbjbjamhklgikd
CHR DefaultSearchKeyword: Default -> omiga-plus
CHR DefaultSearchURL: Default -> Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
FF Extension: HD Cinema Pro 1.8cV07.02 - C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\972bzv39.default-1411828832917\Extensions\OIBMBKA115048682@HYKFIU97176590.com [2015-02-07]
FF Extension: FoxyDeal - C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\972bzv39.default-1411828832917\Extensions\{F58A62EB-38DC-43C4-A539-DC52E135208D} [2015-01-11]
FF Extension: Dynamo Combo 1.0.1 - C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\972bzv39.default-1411828832917\Extensions\{f81878fa-25e9-442d-8ada-79658b6520f2}.xpi [2015-01-11]
FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\972bzv39.default-1411828832917\extensions\fftoolbar2014@etech.com
FF HKLM\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\972bzv39.default-1411828832917\extensions\faststartff@gmail.com
FF user.js: detected! => C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\972bzv39.default-1411828832917\user.js
FF SearchPlugin: C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\972bzv39.default-1411828832917\searchplugins\omiga-plus.xml
FF Extension: Fast Start - C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\972bzv39.default-1411828832917\Extensions\faststartff@gmail.com [2015-01-11]
FF Extension: FF Toolbar - C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\972bzv39.default-1411828832917\Extensions\fftoolbar2014@etech.com [2015-01-11]
FF NewTab: chrome://quick_start/content/index.html
FF DefaultSearchEngine: omiga-plus
FF SelectedSearchEngine: omiga-plus
BHO: Dynamo Combo 1.0.0.7 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files\Dynamo Combo\DynamoComboBHO.dll (Dynamo Combo)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
HKU\S-1-5-21-3344783068-1248843900-184424382-1000\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3344783068-1248843900-184424382-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
SearchScopes: HKU\S-1-5-21-3344783068-1248843900-184424382-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Startup: C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\superpc_soft_partner.lnk
ShortcutTarget: superpc_soft_partner.lnk -> C:\ProgramData\{a0cbac1d-7bed-4c0b-a0cb-bac1d7beb075}\superpc_soft_partner.exe (Super PC Tools Ltd)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKU\S-1-5-21-3344783068-1248843900-184424382-1000\...\Run: [Super Optimizer] => C:\Program Files\Super Optimizer\SupOptLauncher.exe [676968 2015-02-09] (SUPER PC TOOLS LIMITED)
HKU\S-1-5-21-3344783068-1248843900-184424382-1000\...\MountPoints2: {593ace7e-01e8-11e4-b21d-9cb70d1bf796} - G:\Startme.exe
HKLM\...\RunOnce: [upgmsd_pl_23.exe] => C:\Users\Patryk\AppData\Local\gmsd_pl_23\upgmsd_pl_23.exe [3310248 2015-01-11] ()
C:\Users\Patryk\AppData\Local\gmsd_pl_23
2015-02-17 17:11 - 2015-02-17 17:11 - 00000000 ____D () C:\Users\Patryk\Documents\Super Optimizer
2015-02-17 17:11 - 2015-02-17 17:11 - 00000000 ____D () C:\Users\Patryk\AppData\Roaming\Super Optimizer
2015-02-17 17:06 - 2015-02-17 17:06 - 00001004 _____ () C:\Users\Patryk\Desktop\Super Optimizer.lnk
2015-02-17 17:06 - 2015-02-17 17:06 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Super Optimizer
2015-02-17 17:06 - 2015-02-17 17:06 - 00000000 ____D () C:\Program Files\Super Optimizer
2015-02-17 17:05 - 2015-02-17 18:07 - 00000000 ____D () C:\ProgramData\{a0cbac1d-7bed-4c0b-a0cb-bac1d7beb075}
2015-02-07 17:55 - 2015-02-17 18:55 - 00003134 _____ () C:\Windows\Tasks\d6a90770-a53a-449a-b1ca-9709c10ab997-1-6.job
2015-02-07 17:55 - 2015-02-07 17:56 - 00000000 ____D () C:\Users\Patryk\Desktop\112_FUJI
2015-02-07 17:55 - 2015-02-07 17:55 - 01512408 _____ (HD CinemaV07.02) C:\Users\Patryk\AppData\Roaming\EJP.exe
2015-02-07 17:54 - 2015-02-07 17:54 - 00000000 ____D () C:\Program Files\c37921a0-b13b-405f-a482-eb626ea57597
2015-02-07 17:53 - 2015-02-08 17:57 - 00000000 ____D () C:\Program Files\HD Cinema Pro 1.8cV07.02
2015-02-07 17:53 - 2015-02-07 17:53 - 02000856 _____ (HD CinemaV07.02) C:\Users\Patryk\AppData\Roaming\NHJYLMM.exe
2015-02-07 14:18 - 2015-02-07 14:18 - 00043160 _____ (StdLib) C:\Windows\system32\Drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw.sys
2015-02-07 14:18 - 2015-02-07 01:46 - 00043152 _____ (StdLib) C:\Windows\system32\Drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}Gw.sys
2015-01-26 17:47 - 2015-01-26 07:45 - 00043160 _____ (StdLib) C:\Windows\system32\Drivers\{16a92140-918d-4afb-9edb-46f22437bb10}Gw.sys
2015-01-26 17:46 - 2015-01-26 17:46 - 00131072 _____ () C:\Windows\Minidump\012615-28173-01.dmp
2015-01-25 17:12 - 2015-01-25 17:12 - 00002086 _____ () C:\Users\Patryk\AppData\Roaming\EJP
2015-01-25 17:12 - 2015-01-25 17:12 - 00001248 _____ () C:\Users\Patryk\AppData\Roaming\NHJYLMM
2015-01-23 14:17 - 2015-01-23 01:41 - 00043160 _____ (StdLib) C:\Windows\system32\Drivers\{915cb94b-b4d8-4c0e-83b4-61409471b1c3}Gw.sys
2015-01-22 20:12 - 2015-01-26 17:46 - 240234456 _____ () C:\Windows\MEMORY.DMP
2015-01-22 20:12 - 2015-01-22 20:12 - 00131072 _____ () C:\Windows\Minidump\012215-28220-01.dmp
2015-01-20 10:58 - 2015-01-19 06:40 - 00043160 _____ (StdLib) C:\Windows\system32\Drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw.sys
C:\Program Files\gmsd_pl_23
2015-01-25 17:12 - 2015-01-25 17:12 - 0002086 _____ () C:\Users\Patryk\AppData\Roaming\EJP
2015-02-07 17:55 - 2015-02-07 17:55 - 1512408 _____ (HD CinemaV07.02) C:\Users\Patryk\AppData\Roaming\EJP.exe
2015-01-25 17:12 - 2015-01-25 17:12 - 0001248 _____ () C:\Users\Patryk\AppData\Roaming\NHJYLMM
2015-02-07 17:53 - 2015-02-07 17:53 - 2000856 _____ (HD CinemaV07.02) C:\Users\Patryk\AppData\Roaming\NHJYLMM.exe
2014-09-27 20:56 - 2014-09-27 20:56 - 0003218 _____ () C:\Users\Patryk\AppData\Local\unins000.dat
2014-09-27 20:56 - 2014-09-27 20:56 - 0707504 _____ () C:\Users\Patryk\AppData\Local\unins000.exe
2014-09-27 20:56 - 2014-09-27 20:56 - 0011761 _____ () C:\Users\Patryk\AppData\Local\unins000.msg
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\d6a90770-a53a-449a-b1ca-9709c10ab997-1-6.job => C:\Program Files\HD Cinema Pro 1.8cV07.02\d6a90770-a53a-449a-b1ca-9709c10ab997-1-6.exe <==== ATTENTION
Task: {0C3B787C-B374-49AB-A4DE-A9AB727D872B} - \Adobe Flash Player Updater No Task File <==== ATTENTION
Task: {0DC3FB71-0AE8-4518-A42F-2C7A4E2401BA} - \d6a90770-a53a-449a-b1ca-9709c10ab997-1-6 No Task File <==== ATTENTION
Task: {2B3DD123-AECB-4D85-AFFC-90BEB66BD1C6} - \GoogleUpdateTaskMachineUA No Task File <==== ATTENTION
Task: {475DA83C-65BB-4890-9AC2-227B5ED892A0} - \GoogleUpdateTaskMachineCore No Task File <==== ATTENTION
Task: {5AE9E9FA-328F-4BB1-9257-AB3DA1246F04} - \Opera scheduled Autoupdate 1400605406 No Task File <==== ATTENTION
Task: {8AF12CF6-5CD9-4B98-96E4-F36E2CABA593} - \RegClean Pro No Task File <==== ATTENTION
Task: {B756E8FE-34CF-4EFE-9E7A-C8C5CC7C744D} - System32\Tasks\Super Optimizer Schedule => C:\Program Files\Super Optimizer\SupOptLauncher.exe [2015-02-09] (SUPER PC TOOLS LIMITED) <==== ATTENTION
Task: {B972AA27-14CC-4921-A213-1C253366151D} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc
Task: {E6B98851-B839-48AA-B37B-03AA63B4BCFD} - \Adobe Acrobat Update Task No Task File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NanoServiceMain => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSUAService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NanoServiceMain => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PSUAService => ""="Service"
AlternateDataStreams: C:\ProgramData\TEMP:56E2E879
Emptytemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wykonaj i wklej nowe logi z FRST.

Post18 lut 2015, 17:19

Wykonałem wszystko

ADW Dostępne tylko dla zarejestrowanych użytkowników
JRT Dostępne tylko dla zarejestrowanych użytkowników
FRST Dostępne tylko dla zarejestrowanych użytkowników
Addition Dostępne tylko dla zarejestrowanych użytkowników
Shortcut Dostępne tylko dla zarejestrowanych użytkowników

Post18 lut 2015, 17:23

Wyczyszczone i czysto.

1.

Kod: Zaznacz cały

CHR DefaultSearchKeyword: Default -> omiga-plus
CHR DefaultSearchURL: Default -> http://isearch.omiga-plus.com/web/?type=ds&ts=1421009978&from=cor&uid=WDCXWD5000BPVT-22HXZT3_WD-WXT1CB1F1122F1122&q={searchTerms}

FRST nie potrafi tak ingerować w Google Chrome. Musisz sam ręcznie to zmienić.

2. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes