Blokuje instalacje antywirusów


(Boosi) #1

Witam. Kolega w pracy ma następujący problem z komputerem.

Komputer zwalnia mu, przy próbie instalacji SpyBota czy HJT "coś" zamyka okienko programu po ułamku sekundy. IE otwiera się, ale trzeba długo czekać. Wszystko działa, do momentu kiedy chce wejść na stronę z antywirusami i ściągnąć coś, wtedy IE zamyka się. Chciałem zrobić log z HJT, ale jak wspomniałem program momentalnie się zamyka. Podobnie ze skanerem online przez WWW (IE zamyka się). Zupełnie nie wiem, jak mu pomóc w tej sytuacji (pracuje zdalnie, więc nie mam fizycznego dostępu do kompa).

Czy macie jakieś pomysły? Czego szukać? Żadnych nowych podejrzanych aplikacji w katalogu C:\Windows nie ma.

Co ciekawe inne aplikacje typu: Skype, GG, Outlook działają bez problemu.

Proszę o pomoc.


(adam9870) #2

A czy ComboFix bądź SilentRunners działają normalnie? Jeśli to tak wykonaj w nich logi i wklej je na forum.

Sprawdź czy w przypadku korzystania z innych przeglądarek internetowych niż IE jest tak samo.


(Boosi) #3

Udało się zrobić loga z HJT. Jak kolega pisze: Musiał szybko klikać żeby uruchomić ten program HJT, musiał też nazwę pliku zmienić bo inaczej od razu się zamykał.

Logfile of HijackThis v1.99.1

Scan saved at 22:30:20, on 2007-06-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKService.exe

C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKWCtl.exe

C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

C:\WINDOWS\system32\dllcache\winswd.exe

C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

D:\MEDIM\mz.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.1.1:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - Default URLSearchHook is missing

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Miniclip - {4E7BD74F-2B8D-469E-89B3-BE29F5D3E32D} - C:\PROGRA~1\MINICL~1\MINICL~1.DLL (file missing)

O3 - Toolbar: Miniclip - {4E7BD74F-2B8D-469E-89B3-BE29F5D3E32D} - C:\PROGRA~1\MINICL~1\MINICL~1.DLL (file missing)

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file:///E:/RA/CdViewer.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C3391386-C5CC-415B-ABEB-CCAED46856F7}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{C60F44B4-9BBA-45A2-8A99-286DDE36C32D}: NameServer = 192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fuchs-oil.pl

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fuchs-oil.pl

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe

O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKService.exe

O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKWCtl.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\system32\dllcache\qxchost.exe (file missing)

O23 - Service: Microsoft Performance Analysis Tool - Unknown owner - C:\WINDOWS\system32\dllcache\winswd.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Universal Printer NT Service - Unknown owner - C:\WINDOWS\system32\dllcache\upnt.exe (file missing)

(adam9870) #4

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.BAT i uruchom go w trybie awaryjnym.

Usuń wpisy HJT.

Czy masz zainstalowany jeszcze Miniclip Toolbar? Jeśli nie to dwa powyżej przedstawione wpisy również usuń.

Czy masz jeszcze zainstalowanego Nortona? Jeśli nie to utwórz plik FIX.BAT o zawartości:

i uruchom go w trybie awaryjnym. Dodatkowo poczytaj o usuwaniu produktów marki Norton za pomocą narzędzia SymNRT.

Po wykonaniu wklej nowy log z HijackThis i ComboFix. Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C.


(Boosi) #5

Plik logu HJT po kilkukrotnym użyciu SpyBot - Search & Destroy.

Logfile of HijackThis v1.99.1

Scan saved at 12:37:31, on 2007-06-08

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKService.exe

C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKWCtl.exe

C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe

C:\WINDOWS\system32\dllcache\seagatecom.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Cisco Systems\VPN Client\vpngui.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

c:\Program Files\HP\HP Share-to-Web\hpgs2wnf.exe

C:\Program Files\Opera\Opera.exe

D:\MEDIM\mz.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [WMI Performance Adapter Services] C:\WINDOWS\system32\test.exe

O4 - HKLM\..\RunServices: [WMI Performance Adapter Services] C:\WINDOWS\system32\test.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [WMI Performance Adapter Services] C:\WINDOWS\system32\test.exe

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\RunServices: [WMI Performance Adapter Services] C:\WINDOWS\system32\test.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file:///E:/RA/CdViewer.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{15FC5B24-6FB2-4EEA-8143-AA1F9C5305A7}: NameServer = 83.238.255.76 213.241.79.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{C3391386-C5CC-415B-ABEB-CCAED46856F7}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{C60F44B4-9BBA-45A2-8A99-286DDE36C32D}: NameServer = 192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fuchs-oil.pl

O17 - HKLM\System\CS1\Services\Tcpip\..\{15FC5B24-6FB2-4EEA-8143-AA1F9C5305A7}: NameServer = 83.238.255.76 213.241.79.37

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fuchs-oil.pl

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe

O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKService.exe

O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKWCtl.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\system32\dllcache\seagatecom.exe

Combo

"Mariusz" - 2007-06-08 13:14:33 Dodatek Service Pack 2 NTFS

(Gutek) #6

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki

C:\WINDOWS\system32\27031_mssql.exe

C:\seagatecom.exe

C:\WINDOWS\system32\system32.com

C:\WINDOWS\system32\irn.exe

C:\WINDOWS\system32\google.com

C:\WINDOWS\system32\eraseme_61541.exe

C:\mbs75.exe

i naciskasz X czerwony. Program poprosi o reset kompa ... czyli resetujesz.

Czyszczenie rejestru:

RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177

możesz rejestr przelecieć albo

jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509

Daj nowy log z Combo


(Mzowczak) #7

Witam, zrobiłem jak napisaleś, użyłem regcleanera. ale to chyba nie b ył dobry pomysł. Uruchomiłem go, ale w pewnym momencie przerwałem, wystrszaylem się, ze za dużo pousuwam, no i chyba tak się stało. Mam teraz taką sytuację, że nie mogę uruchmić wielu programów, pyta mnie jakiego użyć programu ? Nawet jak próbuję wejść w ustawienia panel sterowania i dalej próbuję kliknąc w cokolwiek to nie otwiera tyko pyta jkaiego użyć programu, żeby otworzyć ? Dane na dyskach są. Czy jest jakiś spossó, żeby to naprawić, aby windows zaczął działać poprawnie ? Bardzo prosze o pomoc.


(Gutek) #8

A jak go używałeś?


(Mzowczak) #9

to co pojawiło się w oknie zazncazyl em wszystko i uruchomilem ten programik - pewnie coś źle zrobilem, pewnie chodziło ci o coś innego, a ja po prostu podejrzewam pouswalem z rejestrów za duzo


(Gutek) #10

Masz włączone przywracanie systemu? Jak tak użyj go :slight_smile:


(Mzowczak) #11

sprawdzałem i co ciekawe nie pokazuje żadnych punktów przywracania, czyli tak jkaby ich nie było. Programy, jeśli usunąłem to sobie doinstlowałbym, ale nie moge tego zrobić bo sam windows nie działa poprawnie. Jeszcze mam taki pomysł, bo wcześniej używałem spybota i wiem, że kliknąłem opcję kopii rejestru czy coś takiego. Gdyby to udało się odtworzyć ? Ale szukałem tego na dysku i nie mogę znaleźć ?


(Gutek) #12

Brakujace pliki Windows:

Wejdź w start>>>Uruchom>>>sfc /scannow


(Mzowczak) #13

niestety, pojawia się komunikat, że system windows nie moze odnaleźć tego pliku, każe wybrać program z listy lub skorzystać z uslugi siecu web...

Złączono Posta : 10.06.2007 (Nie) 13:17

ale nabroiłem...


(Gutek) #14

Reinstalacja XP

http://www.searchengines.pl/phpbb203/in ... ntry109540

Ale najpierw Konsola Odzyskiwania - http://www.searchengines.pl/phpbb203/in ... opic=14270 i Przywracanie uszkodzonego rejestru