Podsystem AAVM wykrył błąd RPC - problem z antywirusem

Witam,

Komputer użytkowała młoda osoba. Było na nim zainstalowane AVG, którego zakończyła się już wersja próbna, która uszkodziła pliki sieciowe przez co internet nie działał. Pomogło dopiero usunięcie tego programu przez dedykowany program do reinstalacji z ich strony.

Chciałem następnie zainstalowac Avasta Free Edition. Zainstalowałem program bez problemów ale da się uruchomi ochrony. A gdy chcę zarejestrowa tą wersję pojawia się komunikat: “Podsystem AAVM wykrył błąd RPC”.

Podejrzewam, że na tym komputerze jest pełno wirusów ponieważ widac, że wszystkie programy były instalowane przez “dalej”, nie ma nic na partycji “d” i było kilka toolbarów

Jeśli Avast nie będzie działał to nie usunę tych wirusów, a to chyba najlepszy darmowy antywir.

Zamieszczam logi OTL:

OTL:

http://www.wklej.org/id/897661/

Extras:

http://www.wklej.org/id/897663/

Proszę o pomoc.

Jest więcej niż pełno wirusów. Będziemy usuwać etapami.

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania pokaż na forum.

Następnie użyj Eset Necrus Remover [http://www.fixitpc.pl/topic/8-dezynfekc … __p__57587](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page view findpost p 57587)

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Wkleiłem ten kod i kliknąłem wykonaj skrypt po czym pokazał się pusty pulpit z tapetą bez żadnych ikon. Nie było nawet paska zadań.

Chciałem włączyć menedżer zadań i wyskoczyło okno, że “menedżer zadań został wyłączony przez administratora” więc nie pozosało mi nic innego jak dać reset. Po włączeniu komputera OTL pokazał taki log:

http://wklej.org/id/897746/

Dodatkowo pojawia się okienko, którego nie da się wyłączyć:

77749095248966961236.jpg

Jeśli chodzi o użycie Eset Necrus Remover to niestety nie działa link: http://download.eset.com/special/ESETNecursRemover.zip

W sieci nie ma dostępnego tego programu.

Proszę o podpowiedź co mam teraz zrobić?

Pokaż raport Kasperski TDSSKiller [http://www.fixitpc.pl/topic/8-dezynfekc … entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak coś wykryje wybierz Skip

Niestety jest coraz gorzej. Po przeskanowaniu komputera programem TDSSKiller i usunięciu znalezionych wirusów (przy Necrus było delete a przy reszcie skip) zrobiłem restart komputera i po włączeniu ukazały się takie okienka:

http://iv.pl/images/46185612482421273321.jpg

Następnie chcę wejść do “Mój komputer” aby odczytać loga z TDSSKiller i niestety w nieskończoiność ładuje się “mój komputer” (czekałem 10min).

http://iv.pl/images/52682370460780948796.jpg

Edit://

W końcu mój komputer się załadował, oto logi:

http://wklej.org/id/897777/

http://wklej.org/id/897781/

http://wklej.org/id/897782/

Co mam teraz zrobić?

Proszę o nowe raporty OTL walka trwa. Uruchom OTL klikasz Skanuj

System zaczął bardzo mulić - to jest tylko dla informacji.

Po włączeniu OTL mam zaznaczać tak jak w instrukcji: “Wszyscy użytkownicy, Infekcje LOP, Infekcje Purity” ? Bo ja zaznaczam za każdym razem i skanowanie bardzo długo trwało:

Raport OTL:

http://wklej.org/id/897794/

Teraz przejdziemy szybko do usuwania infekcji Sality

Pobierasz Salitykiller - to konieczne. Pobierz Salitykiller http://sendfile.pl/118314/SalityKiller.exe Uruchom, skanujesz tyle razy aż narzędzie nie będzie nic wykrywać.

Następnie ponownie pobierz (to konieczne bo to co masz na dysku jest pewno zainfekowane) Dr.WEB CureIt! Wykonaj pełny skan Leczysz wszystko co znajdzie. Czego nie będzie można wyleczyć usuwasz. Skanujesz tyle razy aż skaner nic nie wykryje.

Następnie pokaż nowe raporty z OTL

  1. No więc pobrałem i uruchomiłem skanowanie systemu programem Salitykiller, które wykonywało się od godziny 15:30 do teraz na 100GB danych? Szło to strasznie mozolnie więc przed chwilą przerwałem.

Skype było włączone i w międzyczasie przyszło kilka wiadomości typu: “hej to jest twój nowy obraz profil? http://goo.gl/złośliwy_link” więc już podejrzewam, że młoda osoba, która użytkuje ten komputer kliknęła w tego linka i to jest powodem tego całego zmieszania.

Z tego co czytałem w internecie na tej temat to jeśli to się rozpowszechni trudno jest to normalnie usunąć i najlepiej zrobić format wszystkich partycji ponieważ reinstalacja systemu nie pomaga bo wirus jest na wszystkich partycjach i na nowy system później wchodzi.

Co zalecacie? Czy warto jest jeszcze czyścić ten system przed wirusami czy zrobić jego reinstalację? Z tego co widzę jest bardzo zainfekowany;/

  1. Zrobiłem błąd ponieważ pobrałem na swoim komputerze program Dr.WEB CureIt! (ale na zawirusowanym komputerze nie dało sie pobrać plików większych niż 80mb bo niby występował błąd sieci), który chciałem wrzucić na zainfekowany komputer przez pendrive. Później pendrive uruchomiłem na moim komputerze i antyvirus wykrył Sality. Czy możliwe, że przy autostarcie pendrive wirus przeszedł na mój komputer?

Proszę o pomoc.

Dodane 16.12.2012 (N) 8:26

Zostawiłem komputer na noc z włączonym Salitykiller. Uszkodził prawdopodobnie pliki startowe partycji:

74757766845511875874.jpg

Skanuję komputer ponownie.

Dodane 16.12.2012 (N) 9:49

Zakończyłem więc skanowanie komputera. Salitykiller oraz Dr.WEB CureIt! nic już nie wykrywają.

Co mam teraz zrobić?

Oto logi OTL:

http://wklej.org/id/898455/

Dla jasności to nie Salitykiller coś uszkodził tylko Sality oraz Rootkit Necrus. To że Salitykiller leczy pliki to jeszcze nie oznacza że skutecznie je wyleczy. Tutaj jednak chodzi o coś innego. Skrypt do OTL powinien rozwiązać sprawę. Chociaż nie jestem pewien że wirusa już rzeczywiście nie ma.

Tak

Jeśli nie działa Avast odinstaluj go przez Panel sterowania Aplet Dodaj usuń programy. Jeśli się nie będzie dało to użyj http://www.avast.com/uninstall-utility

Następnie użyj AdwCleaner z opcji Delete (zamknij wcześniej wszystkie przeglądarki przed użyciem narzędzia) otl-gmer-rsit-dss-inne-instrukcje-t370405.html#p3090080 pokaż raport z tej operacji na forum.

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania pokaż na forum.

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Avast nie działa, wchodzę więc do Dodaj usuń programy i po kliknięciu “Zmień/usuń” nie reaguje. Więc ściągam na pulpit: http://www.avast.com/uninstall-utility i stosuję się do tego co tam napisali. Wyłączam komputer, podczas wlączania F8 => tryb awaryjny z obsługą sieci => ładuje się coś i niestety resetuje włączając komputer od nowa. Próbowałem właczyć sam tryb awaryjny i niestety równiez nie chciało wejść. Więc dałem “ostatnia znana dobra konfiguracja” uruchamiam system i klikam w ten ściagnięty plik ze strony avasta. Resetuje się komputer i niestety nie da isę już uruchomić systemu.

Co mam teraz zrobić jeśli tryb awaryjny nie działa oraz system nie chce się uruchomić?

Sorki zapomniałem że Sality może załatwić również tryb awaryjny. Proszę naprawić tryb awaryjny Pobierz Sality_RegKeys.zip http://support.kaspersky.com/1874 Wypakuj plik SafeBootWinXP.reg Dodaj plik do rejestru. Restart komputera i spróbuj uruchomić komputer w trybie awaryjnym. Po tym odinstaluj Avasta.

Niestety teraz system nie chce się uruchomić. Cały czas się restartuje więc nie mam jak pobrać tego pliku i dodać do rejestru.

instalacja-nakladkowa-windows-t486919.html

Hmm, nie mam płytki z tą wersją systemu, która jest na tym komputerze. Mam tylko Win XP profesional SP2, może być?

To jest ta wersja więc oczywiście może być. OTL to potwierdza

Niestety to instalacja-nakladkowa-windows-t486919.html nie pomaga. Wykonałem wszystkie procedury, pliki się skopiowały. Nastąpiło ponownie uruchomienie komputera i pokazuje się ekran ładowania systemu, chwile ładuje i mignie niebieski ekran (nie da się zauważyć czy widoczny jest na nim jakiś tekst) i ponownie uruchamia się system. Mam nadzieję, że nie trzeba będzie robić formatu.

Pobierz, nagraj na płytkę, uruchom wykonaj skan OTLPE http://www.fixitpc.pl/topic/4414-diagno … h-windows/ Pokaż powstały raport na forum.

Dodatkowo używając OTLPE wejdź do katalogu C:\Windows\Minidump\ spakuj wszystkie pliki dmp i wrzuć na jakiś hosting i podaj linka na forum

Miałem problem z tą płytką ponieważ program, który jest w tym .exe do nagrywania obrazu imgBurn jest niekompatybilny z Win7. Dobrze, ze to exe to 7zip więc wypakowałem i nagrałem płytkę z tego .iso.

Niestety pojawia się następny problem, podczas ładowania już systemu http://www.fixitpc.pl/picasso/images/ma … pe02_m.gif wyskoczył błąd niebieski ekran: http://iv.pl/images/41696241458565134146.jpg , drugi raz http://iv.pl/images/17819488013855687372.jpg

Próbowałem 2x uruchamiać system z tej płytki. Już mnie zaczyna to martwić. Mam nadzieję, że uda nam się dzisiaj z tym zrobić.

Rozwiązanie jest tutaj http://support.microsoft.com/kb/156669/pl tylko że my właściwie próbowaliśmy wszystkiego oprócz zmian w rejestrze który może być uszkodzony oraz konsoli windows z której mógłbyś spróbować naprawić plik winlogon.exe - tylko że tutaj nie o sam plik może chodzić. Można spróbować odzyskać rejestr z poziomu konsoli winodws.

Zobacz także tutaj http://www.fixitpc.pl/topic/5655-przywr … p-offline/ tylko że przy infekcji Sality to nie jest najlepsze wyjście - zresztą może okazać się niemożliwe do wykonania.