Antivirus 2009-jak usunąć?


(Paula502) #1

Witam

Mam problem. Nie mogę odinstalować antivirusa 2009. System polecił mi,żebym go sciągnęła, więc tak zrobilam.Po zainstalowaniu wyskoczyło mi,że mam dużo wirusów, miedzy innymi trojany. Co chwile mi wyskakują jakieś błędy związane z tym antywirusem i komputer mi się wyłącza, tzn. pojawiają się napisy w języku angielskim na niebieskim tle[coś jak bios,tyle,ze nic nie mozna przestawic] potem wyskakuje taki obraz jakby się włączał komputer od nowa tyle,że z napisem "your antivirus 2009 copy ..."dalej nie pamiętam, wiem,że coś związane z ochroną. po czym wszystko wraca do normy, mam wszystko tak jak było.

W panelu sterowania w "dodaj usun programy" w ogole tego nie ma, a na dysku lokalnym C w program files jest ale nie moge tego usunac bo wyskakuje blad.

prosze o pomoc!


(Sebastianchrzan) #2

system nie ma prawa ci polecac antyvirusa!możliwe ze to przez vira!podaj loga http://dobreprogramy.pl/index.php?dz=2& ... This+2.0.2


(Paula502) #3

sciagnelam program ale nie wyskakuje mi ten antivirus 2009 :expressionless:


(MaRa) #4

Ten "antivirus" to jeden wielki wirus.

Nauczka na przyszłość, by nie instalować pogramów z niewiadomego źródła.

Proponuję zacząć od przegrania na płytę CD/DVD wszystkich ważnych plików (archiwum programu pocztowego, zdjęcia, dokumenty), bo później można ich nie odzyskać. Nie na pendriva, bo wirusy na niego również mogą trafić.


(Paula502) #5

już znalazłam tego antivirusa cholernego w HijackThis i usunelam. zobaczymy czy dalej bedzie mi sie komputer wyłączał.mam nadzieje,ze nie :smiley:


(Sebastianchrzan) #6

tylko w tym antyvirus 2009 nie naciskaj delet bo usuniesz pliki systemowe i reinstal!podaj loga bo on siedzi i bedzie siedzia.jedynie sie się go nie wywali po przez loga!


(Paula502) #7

jakiego loga?


(Sebastianchrzan) #8

tu masz opis jak zrobic loga viewtopic.php?f=16&t=36654 programem HijackThis

jakiego masz antyvirusa?


(Paula502) #9

"system NOD32 2.7" skanowałam i niby nie ma zadnego wirusa


(ybu) #10

Wykonaj też skan programem ComboFix

viewtopic.php?t=36654

wklej z niego loga

viewtopic.php?t=253052


(Paula502) #11

ale co to jest ten log? nie znam się


(Sebastianchrzan) #12

nod jest ślepy podaj loga!!!używaj aviry


(Paula502) #13

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:38:52, on 2008-09-12

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\alg.exe

C:\Program Files\Web Technologies\wcs.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)

O4 - HKLM..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

O4 - HKLM..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM..\Run: [C] C:\WINDOWS\system32\kdanv.exe

O4 - HKLM..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKCU..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"

O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKLM..\Policies\Explorer\Run: [this] C:\Program Files\Web Technologies\wcs.exe

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Usługa konfiguracji Atheros (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

--

End of file - 5150 bytes


(Paula502) #14

to jest ten log? co mam dalej robić? a no i komputer mi się narazie nie wyłącza.


(Sebastianchrzan) #15

tak to ten!poczekaj jak jakis obeznany w logach rzuci na to okiem bo ja aż tak się nie znam!


(ybu) #16

Według mnie do usunięcia jest:

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/pl/

Pobierz

przeskanuj system i daj log na forum

(na dole strony) (ComboFix)

Poczekaj jednak,aż wypowiedzą się bardziej obeznani w tych sprawach.


(łysy01) #17

Nie masz przypadkiem włączonych dwóch programów antywirusowych?


(ybu) #18

Lysy01 gdzie ty widzisz 2 antywirusy?Ja widzę ylko NODa.


(Leon$) #19

wpisy

usuń HijackThisem >> Fix checked

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 ale nie włączaj.

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Paula502) #20

ComboFix 08-09-11.02 - usr 2008-09-12 17:36:22.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.74 [GMT 2:00]

Uruchomiony z: C:\Documents and Settings\usr\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\usr\Pulpit\CFScript.txt

* Utworzono nowy punkt przywracania

* Resident AV is active

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA!!

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Autorun.inf

C:\Program Files\Antivirus 2009

C:\Program Files\Antivirus 2009\av2009.exe

C:\Program Files\myglobalsearch

C:\Program Files\myglobalsearch\bar\1.bin\M9FFXTBR.JAR

C:\Program Files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST

C:\Program Files\myglobalsearch\bar\1.bin\M9NTSTBR.JAR

C:\Program Files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST

C:\Program Files\myglobalsearch\bar\1.bin\NPMYGLSH.DLL

C:\Program Files\myglobalsearch\bar\Cache\007B1B32

C:\Program Files\myglobalsearch\bar\Cache\007B29B9

C:\Program Files\myglobalsearch\bar\Cache\007B2B8E.bin

C:\Program Files\myglobalsearch\bar\Cache\007B2F66.bin

C:\Program Files\myglobalsearch\bar\Cache\007B316A.bin

C:\Program Files\myglobalsearch\bar\Cache\files.ini

C:\Program Files\myglobalsearch\bar\History\search

C:\Program Files\myglobalsearch\bar\Settings\prevcfg.htm

C:\Program Files\Web Technologies

C:\Program Files\Web Technologies\wcs.exe

C:\Program Files\Web Technologies\wcu.exe

C:\WINDOWS\system\mmtaskclean.log

C:\WINDOWS\system\win32in.dll

C:\WINDOWS\system\win32out.dll

C:\WINDOWS\system32\explorxp.exe

C:\WINDOWS\system32\kdanv.exe

C:\WINDOWS\system32\Panel sterowania.{21EC2020-3AEA-1069-A2DD-08002B30309D}

C:\WINDOWS\system32\settings.dll

D:\Autorun.inf

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_CREATEPROCESS

((((((((((((((((((((((((( Pliki utworzone od 2008-08-12 do 2008-09-12 )))))))))))))))))))))))))))))))

.

2008-09-12 12:14 . 2008-09-12 12:14

2008-09-08 19:30 . 2008-09-09 16:17

2008-09-08 15:01 . 2005-11-10 05:45 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys

2008-09-08 15:01 . 2005-11-10 05:45 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys

2008-09-08 15:00 . 2005-11-10 05:45 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys

2008-09-08 15:00 . 2005-11-10 05:45 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys

2008-09-01 19:12 . 2008-09-01 19:12 0 --a------ C:\WINDOWS\nsreg.dat

2008-08-20 17:23 . 2008-08-20 17:23

2008-08-20 17:22 . 2008-08-20 17:22

2008-08-20 17:22 . 2008-08-20 17:23

2008-08-20 17:22 . 2008-08-20 17:23

2008-08-20 17:22 . 2008-08-20 17:23

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-09 14:19 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-09-06 12:15 --------- d-----w C:\Program Files\ESET

2008-09-03 07:10 90,112 ----a-w C:\WINDOWS\DUMP5091.tmp

2008-07-26 20:56 --------- d-----w C:\Documents and Settings\usr\Dane aplikacji\Skype

2008-07-26 20:46 --------- d-----w C:\Documents and Settings\usr\Dane aplikacji\skypePM

2008-07-13 19:08 --------- d-----w C:\Program Files\BearShare

2008-07-07 20:19 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-06-26 12:32 298,104 ----a-w C:\WINDOWS\system32\imon.dll

2008-06-24 16:30 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-23 16:16 669,696 ----a-w C:\WINDOWS\system32\wininet.dll

2008-06-20 17:37 246,784 ----a-w C:\WINDOWS\system32\mswsock.dll

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"OM2_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2007-02-08 95800]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-07-04 68856]

"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-01-23 155648]

"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-01-23 126976]

"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-06-26 949376]

"QuickTime Task"="C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" [2006-09-01 282624]

"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 57344]

"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - C:\Program Files\SAGEM WiFi manager\WLANUTL.exe [2008-06-26 950272]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.3iv2"= 3ivxVfWCodec.dll

"msacm.divxa32"= divxa32.acm

"VIDC.HFYU"= huffyuv.dll

"VIDC.VP31"= vp31vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"C:\Program Files\BearShare\BearShare.exe"=

"C:\Program Files\Skype\Phone\Skype.exe"=

"C:\Program Files\Gadu-Gadu\gg.exe"=

S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2007-01-10 450560]

S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{0fda8cac-4540-11dd-8561-0060b39cb3da}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{8d5cf47d-49a5-11dd-856a-0060b39cb3da}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe

.

  • USUNIĘTO PUSTE WPISY - - - -

HKLM-Run-C:\WINDOWS\system32\kdanv.exe - C:\WINDOWS\system32\kdanv.exe

HKLM-Explorer_Run-this - C:\Program Files\Web Technologies\wcs.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-12 17:42:15

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

PROCES: C:\WINDOWS\system32\lsass.exe

  • C:\Program Files\Eset\pr_imon.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

C:\WINDOWS\system32\acs.exe

C:\Program Files\ESET\nod32krn.exe

C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

.

**************************************************************************

.

Czas ukończenia: 2008-09-12 17:48:07 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2008-09-12 15:48:01

Przed: 12,226,441,216 bajt˘w wolnych

Po: 12,865,089,536 bajt˘w wolnych

144 --- E O F --- 2008-09-01 09:02:33