Witam, proszę o sprawdzenie loga
Problem pojawia się przy uruchomieniu avast
C:\Program Files…\ashAvast.exe nie jest prawidłową aplikacją systemu Win32.
Z góry dziękuję za pomoc.
Witam, proszę o sprawdzenie loga
Problem pojawia się przy uruchomieniu avast
C:\Program Files…\ashAvast.exe nie jest prawidłową aplikacją systemu Win32.
Z góry dziękuję za pomoc.
Pobierz Combofix http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654 przeskanuj system daj log
potem przeskanuj HijackThis 2.02 daj log
kolejność skanowania jak podałem
zwróć uwagę by w logach były ukośniki
dzięki, ale niestety przy uruchomieniu Combofix i Hijackthis występuje taki sam problem
Masz Rootkita BEAGLE, więc na początek użyj >–>>FindyKill. (na samym dole na stronie linku).
Uzyj go albo w opcji “1” i potem znowu w opcji “2”, albo od razu w opcji “2”.
Daj z niego raport.
EDIT:
W opisie brak jest opisu przebiegu opcji “2”, więc podaję go tu:
Po wpisaniu z klawiatury cyfry “2” i wciśnięciu “ENTER”:
Pojawi komunikat o konieczności zamknięcia swoich prac, gdyż system będzie restartował: >> OK
Następne okienko poprosi o wciśnięcie dowolnego klawisza w celu rozpoczęcia operacji.
Z pulpitu zniknie wszystko i System będzie restartował bez ostrzeżenia (ewentualnie pojawi się błąd odliczania 60 sekund).
Po restarcie ekran logowania powstaje trochę dłużej. Pojawi się pusty ekran, a na nim będą się pojawiać po kolei różne okienka FindyKill.
To może zająć trochę czasu (ok. 15 minut).
Czekaj, aż pojawi się:
Potem dopiero spróbuj od nowa ściągnąć i użyć ComboFix.
jessi
Tak, jest BEAGLE, więc teraz użyj “FindyKill” z opcji "2* (usuwanie) i daj raport.
jessi
I tu niestety pojawia się problem, kiedy wcisnąłem dowolny klawisz, komp się zrestartował (sprawdzał błędy), a po zalogowaniu pojawiło się okienko z informacją, że system windows odzyskał sprawność po poważnym błędzie. Niestety nie pojawił się pusty ekran i okienka FindyKill. Operację tą powtarzałem 3 razy.
No to rzeczywiście problem.
Spróbujemy okrężną drogą:
Usuń tego ComboFixa, którego masz.
Ściągnij od nowa, ale od razu przy ściąganiu zapisz go pod jakąś inną nazwą (np.“kkkkombik.com”).
Daj z niego log.
Zapasowy adres do ComboFixa:
http://rapidshare.com/files/188067005/125.com.exe.html, ale myślę, że nie będzie potrzebny.
jessi
Wklej do Notatnika :
File::
c:\WINDOWS\prefetch\WINUPGRO.EXE-0107067D.pf
C:\WINDOWS\prefetch\259281.EXE-34754BB7.pf
C:\WINDOWS\prefetch\FLEC006.EXE-17A0A628.pf
C:\WINDOWS\prefetch\295109.EXE-077B3FC0.pf
C:\WINDOWS\prefetch\681218.EXE-10FD29A8.pf
C:\WINDOWS\prefetch\718000.EXE-251F4AF3.pf
C:\WINDOWS\prefetch\730859.EXE-3B835372.pf
C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf
C:\WINDOWS\prefetch\243546.EXE-2DB381FB.pf
C:\WINDOWS\prefetch\257015.EXE-0099F3D7.pf
C:\WINDOWS\prefetch\435671.EXE-38AB6EC8.pf
C:\WINDOWS\prefetch\470843.EXE-14C5AF48.pf
C:\WINDOWS\prefetch\482093.EXE-2DBB9120.pf
C:\WINDOWS\prefetch\249390.EXE-076FB663.pf
C:\WINDOWS\prefetch\663109.EXE-23D67137.pf
C:\WINDOWS\prefetch\836718.EXE-00529318.pf
C:\WINDOWS\prefetch\243109.EXE-02393B3A.pf
C:\WINDOWS\prefetch\249468.EXE-173AB668.pf
C:\WINDOWS\prefetch\465640.EXE-205F44E7.pf
C:\WINDOWS\prefetch\496625.EXE-24F57A12.pf
C:\WINDOWS\prefetch\508640.EXE-028460B4.pf
C:\WINDOWS\prefetch\210125.EXE-0AD0816A.pf
C:\WINDOWS\Prefetch\CRAC.EXE-395A792E.pf
C:\WINDOWS\system32\ban_list.txt
c:\windows\DUMPeff8.tmp
c:\windows\DUMPfbc0.tmp
Folder::
c:\documents and settings\Pablo\Dane aplikacji\drivers
C:\FOUND.013
C:\FOUND.012
C:\FOUND.011
C:\FOUND.010
Registry::
[-HKEY_USERS\S-1-5-21-725345543-630328440-1801674531-1003\Software\Local AppWizard-Generated Applications\winupgro]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"=-
"german.exe"=-
"mule_st_key"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.
Ale wklejaj tekst, a nie plik , bo zamiast logu i raportu podałeś sieczkę - łatwo o pomyłkę przy podawaniu usuwania!
jessi
Log jest czysty.
Usuń ręcznie wszystkie “foundy” - nie są szkodliwe, ale są niepotrzebne.
Z tych też nie będziesz korzystał.
Opróżnij foldery TEMP oraz wyczyść Rejestr z kluczy pozostałych po BEAGLE przy pomocy jakiegoś “czyściciela”, np.
> ATF Cleaner —>http://www.searchengines.pl/index.php?show…=0&p=138520
Usuń ręcznie folder C:** Qoobox**.
Usuń kopie Rootkita z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
jessi
usunąłem
c:\windows\DUMPeff8.tmp
c:\windows\DUMPfbc0.tmp
ATF Cleaner wyczyściłem
usunąłem folder Qoobox
Chwilowo wyłączyłem “Przywracanie systemu”
Niestety dalej problem występuje
Jaki problem?
Oczywiście musisz przeinstalować wszystkie aplikacje, które zwracały błąd “nie jest prawidłową aplikacją…”, bo są uszkodzone.
jessi
Bardzo dziękuję za cenne rady i pomoc