galbax
22 Marzec 2011 19:44
#1
Witam,
jestem w beznadziejnej sytuacji. Posiadam McAfee Antivirus. Parę godzin temu wyskoczył komunikat “skanowanie w czasie rzeczywistym jest WYŁĄCZONE”. Więc kliknąłem “włącz”. Przez 2sec wszystko było ok, a później znowu skanowanie zostało wyłączone. Podejrzewam o to jakiegoś robaka. Pobrałem COMODO Antivir, przed chwilą zaktualizowałem i właśnie przeprowadzam szybkie skanowanie. Przy próbie właćżenie jakiegokolwiek skanowania w McAfee wyskakuje “nieznany błąd”
proszę, oto mój log z HijackThis :
http://wklej.eu/index.php?id=e5b4537c38
prosiłbym o pomoc, moja poprzednia zabawa z hijackthis skończyła się przywracaniem systemu
jessica
23 Marzec 2011 09:26
#2
galbax
23 Marzec 2011 17:27
#3
jessica
23 Marzec 2011 18:03
#4
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL SRV - File not found [unknown | Stopped] – -- (MSDTC) SRV - File not found [unknown | Stopped] – -- (LVPrcSrv) O3 - HKCU…\Toolbar\WebBrowser: (no name) - {4724C5D8-DFA7-417A-A2F5-1EABFEE9B4AC} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM…\Run: [iSUSPM Startup] File not found O4 - HKLM…\Run: [svhost] C:\WINDOWS\svhost.exe () O4 - HKLM…\Run: [updtr.exe] File not found O4 - HKLM…\Run: [Win] File not found O4 - HKLM…\Run: [WinampAgent] File not found O4 - HKCU…\Run: [iGAS] C:\WINDOWS\System32\install\WinUpdate.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\install\WinUpdate.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\install\WinUpdate.exe () O33 - MountPoints2{8ed64d10-0189-11de-9c70-001fd016c4c7}\Shell\AutoRun\command - “” = 9d6resf.exe O33 - MountPoints2{8ed64d10-0189-11de-9c70-001fd016c4c7}\Shell\open\Command - “” = 9d6resf.exe [2011-03-23 17:11:46 | 000,000,286 | -H-- | M] () – C:\WINDOWS\tasks{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2011-03-23 17:11:46 | 000,000,286 | -H-- | M] () – C:\WINDOWS\tasks{22116563-108C-42c0-A7CE-60161B75E508}.job [2011-03-23 17:11:44 | 000,000,286 | -H-- | M] () – C:\WINDOWS\tasks{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2011-03-23 17:11:34 | 000,000,314 | -HS- | M] () – C:\WINDOWS\tasks\jvswhlrgcz.job [2011-01-21 20:45:48 | 000,098,304 | RHS- | C] () – C:\WINDOWS\System32\icrav032.dll @Alternate Data Stream - 88 bytes -> C:\WINDOWS\System32\mmc.exe:SummaryInformation :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Użyj > MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html
Daj z niego raport końcowy.
jessi
Pokaż nowy log OTL.txt oraz raport z usuwania
galbax
23 Marzec 2011 20:10
#5
wykonalem pierwszy krok, czyli usunolem otl’em w/w programy. po restarcie komputera uruchomilo sie TYLKO 10 procesow, motyw windowsa zmiebnil sie na ‘klasyczny’, wszystkie antywiry byly wylaczone, nie dalo sie ich wlaczyc,wszystko ladowalo sie baaardzo dlugo. probowlem ‘PRRZYWACANIA SYSEMU’ jednk wykoczl blad ‘przwrcanie nie moze chronic systemu. Uruchom ponownie’ za kazdym razem tak wyskakuje. Jedynie raz udalo mi sie to odpalic.
To wszystko dzieje sie za kazdxm razem przy uruchomianiv OD CHWILI POJAWIENGA SIE PROBLEMU.
Post pisany z komorki, przepraszam za literowki i brak PL znakow
jessica
23 Marzec 2011 20:50
#6
No to niedobrze!
Nie było usuwane nic takiego, co mogłoby spowodować ten problem, więc to nie wina usuwania.
Spróbuj przywrócić działanie Systemu z poziomu Konsoli Odzyskiwania >http://www.fixitpc.pl/topic/48-archiwalny-konsola-odzyskiwania-w-2000xp2003/
Ewentualnie reinstalacja Systemu bez utraty danych >[http://www.searchengines.pl/Reinstalacja-XP-t24500.html/page__p__109540#entry109540 ](http://www.searchengines.pl/Reinstalacja-XP-t24500.html/page p 109540#entry109540)
.
Istnieje też coś takiego, jak “uruchomienie w trybie ostatniej dobrej konfiguracji”
galbax
23 Marzec 2011 21:04
#7
hmm. sek w tym, ze CZASAMI po N probach udaje mi sie odzyskac system. jednak po restarcie musze to robic od poczaku. glowny problem jak usunac SYFA, ktory wylcza sknowanie:/
sam z reinstalacja bez utraty danc bym sobi nie poadzil imo nie naprawiloby to problmu
//via mobile
jessica
23 Marzec 2011 21:11
#8
Próbowałeś już “uruchomienia w trybie ostatniej dobrej konfiguracji” ?
Może ktoś z Twoich znajomych by potrafił?
A co do syfa: teraz nie wiem, czy jeszcze jakiś jest.
.
galbax
23 Marzec 2011 21:39
#9
wlaczanie ‘ostatniej dobrej konfigracji’ odbywa sie podczas wlaczania win?
moze nie tyle nie poradzilbym sobie, ale balbym sie z cos spieprze i dane sie pospia (na kompie mam wiele waznych DLA MNIE rzeczy)
sorki za nieogar, ale jestem baaaadrzo zmeczony:)
//via mobile
jessica
23 Marzec 2011 21:43
#10
F8 przed startem Systemu (podobnie jak Trybu Awaryjnego), potem strzałkami na klawiaturze wybór odpowiedniej opcji
ale to może nie dać teraz dobrych efektów, bo już było kilka restartów Systemu, a to zapamiętuje tylko ostatnie przed restartem.
galbax
23 Marzec 2011 22:07
#11
najwazniejsze to usunac syfa wylaczajacego skanowanie. jakies pomsly? :]
z Przywacaniem JAKOS sobie poradze (wczoraj sie udalo)
//via mobile
jessica
23 Marzec 2011 23:10
#12
1 pomysł: daj log z OTL
2 pomysł: daj log z > TDSSKiller >http://www.bezpieczenstwosystemow.pl/index.php?topic=7461.0
3 pomysł: daj raport z MBAM (link dałam już wcześniej)
4 pomysł: na innym komputerze wypal bootowalną płytkę z Kaspersky Rescue Disk 10, i użyj potem ją na swoim komputerze przed startem Systemu > http://www.fixitpc.pl/topic/102-plyty-startowe-ze-skanerami/
.
galbax
24 Marzec 2011 18:09
#13
Po uruchomieniu "ostatnia dobra konfiguracja wszystko było OK. Jednak McAfee nadal ma wyłączone skanowania
proszę, oto log z Malwarebytes`:
http://wklej.eu/index.php?id=b59060ba79
Jak podejrzewałem, coś modyfikowało rejestr (linia 49 i 50). Oczywiście usunąłem to, ale nadal McAfee nie działa;/
P.S. Do tego jeszcze screen plików na dysku C:/ - foldery plików zaznaczone kropką wydają mi się … dziwne… Nigdy wcześniej ich nie widziałem. (obok procesy sprzed skanowania Malwarebytes`)
jessica
24 Marzec 2011 18:22
#14
To najprawdopodobniej Ty sam zmodyfikowałeś, wyłączając Systemowy Antivirus, i Systemowy Firewall.
MBAM usuwał obiekty, które były w Scripcie usuwającym OTL, a to oznacza, że jeszcze nie wszystko zostało usunięte, bo MBAM nie dostrzegł np. jeszcze jednego *.job
Daj nowy log z OTL, (może też być dodatkowo log z TDSSKiller)
jessi
galbax
24 Marzec 2011 19:05
#15
To raczej nie systemowy firewall, bo pisalo ‘MCAFFEantyvirus’. Co sie stanie jak usune te klucze? A moze trzeba zmienic ich wartosc?
jessica
24 Marzec 2011 19:11
#16
Gdzie Ty tu widzisz “'MCAFFEantyvirus”? ?
Usunąć oczywiście możesz.
Jak widać na powyższym obrazku, ten klucz nie wyłącza Antivirusa, ale wyłącza tylko komunikaty o Antivirusie, pochodzące z Centrum Zabezpieczeń.
jessi
galbax
24 Marzec 2011 19:46
#17
hmm… co sie stanie jak usune? centrum z… utworzy je ponownie?
ponowne ‘szybkie’ skanowanie Malewarebytes dalo pozytywne wyniki(NIC nie znalazlo)
wlasnie trwa ‘pelne skanowanie’ malwarebytes, skn OTL i skanowanie COMODO ANTYWIR
– Dodane 24.03.2011 (Cz) 22:24 –
proszę, oto najnowszy log z OTL:
http://wklej.eu/index.php?id=1e3f8e364e
sorki za BUMP i doublepost
jessica
24 Marzec 2011 21:52
#18
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL [2011-03-24 20:59:45 | 000,000,314 | -HS- | M] () – C:\WINDOWS\tasks\jvswhlrgcz.job IE - HKU\S-1-5-21-606747145-1788223648-1801674531-1004…\URLSearchHook: {4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - Reg Error: Key error. File not found FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2463487&SearchSource=3&q={searchTerms} ” O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O4 - HKLM…\Run: [iSUSPM Startup] File not found O4 - HKLM…\Run: [Win] File not found O4 - HKLM…\Run: [WinampAgent] File not found :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
galbax
25 Marzec 2011 16:38
#19
Proszę, oto log po skanowaniu:
http://wklej.eu/index.php?id=9a5f2a8e81
A to rapost z usuwania:
http://wklej.eu/index.php?id=81e01df31a
– Dodane 25.03.2011 (Pt) 17:45 –
i tu jeszcze raport z TDSSKiller`a:
http://wklej.eu/index.php?id=42e071d57e
jessica
25 Marzec 2011 17:38
#20
TDSSKiller nie wykrył niczego szkodliwego.
Usuwanie się nie udało, więc powtórka:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL [2011-03-24 20:59:45 | 000,000,314 | -HS- | M] () – C:\WINDOWS\tasks\jvswhlrgcz.job FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2463487&SearchSource=3&q={searchTerms} ” :Reg [HKEY_USERS\S-1-5-21-606747145-1788223648-1801674531-1004\Software\Microsoft\Internet Explorer\URLSearchHooks] "{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} "=- [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ISUSPM Startup”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Win”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “WinampAgent”=- :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
