LukaLEWY
(Lukasz Lewandowski)
16 Listopad 2009 22:44
#1
Witam!
Mam problem i proszę was o pomoc, gdyż sam nie mogę sobie z tym poradzić.
Win XP, Avast 4,7 HE
Problemem jest tonie działa mi od jakiegoś czasu osłona rezydenta, i nie mogę jej ponownie włączyć ani poprzez program (suwak wskakuje ponownie na “wyłączony”) ani przez usługi, ( tam jest stan zatrzymany po każdej próbie uruchomienia pojawia się komunikat o błędzie 1056)
Każda próba otworzenia Avasta kończy się wykryciem podczas testu wirusa i usuwanie go i komunikatem o potrzebie przeskanowania systemu podczas rozruchu, a tam nie wszystko można usunąć (komunikat o braku dostępu).
Ponadto przeskanowałem system 3 skanerami online i pousuwałem wszelkie trojany i wirusy które wykryto.
Do tego nie mogę włączyć hijackthis, zainstalowałem ale nie chce się uruchomić,
Oczywiście odinstalowałem Avasta i ponownie go zainstalowałem, także nic.
Dodam, że z Avasta byłem zadowolony i zawsze działał bez zarzutu aż do teraz.
jessica
(jessica)
16 Listopad 2009 22:51
#2
To mi pachnie CONFICKEREM.
Daj log z ComboFix - ale od razu przy ściąganiu zapisz go po inną nazwą, koniecznie z rozszerzeniem .com (np. “berber.com ”).
jessi
LukaLEWY
(Lukasz Lewandowski)
16 Listopad 2009 22:53
#3
po zmianie rozszerzenia z exe na com w programie hijackthis uruchomił się… wiec coś blokuje…
o to plik z logiem.
http://wklej.to/N7mG
jessica
(jessica)
16 Listopad 2009 23:01
#4
to infekcja “pendrivowa”, więc nie musi być ComboFix, wystarczy log z OTL (na samym dole strony)
Ale oprócz normalnych ustawień, dodaj jeszcze jedno:
W pole Custom Scans/Fixes wklej:
i dopiero wtedy kliknij “Run Scan”.
jessi
jessica
(jessica)
16 Listopad 2009 23:37
#6
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O3 - HKU\S-1-5-21-406003278-679430497-2215782487-1005…\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-406003278-679430497-2215782487-1005…\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. MOD - [2009-11-16 23:34:52 | 00,227,282 | RHS- | M] () – C:\Documents and Settings\LEWY\Ustawienia lokalne\Temp\cvasds0.dll O4 - HKU\S-1-5-21-406003278-679430497-2215782487-1005…\Run: [cdoosoft] C:\Documents and Settings\LEWY\Ustawienia lokalne\Temp\herss.exe () :Files C:\9g86.exe C:\autorun.inf D:\9g86.exe D:\autorun.inf C:\Documents and Settings\LEWY\Ustawienia lokalne\Temp\cvasds0.dll :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [resethosts] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
Nie wiem, co to za debugger, ale to mi się nie podoba, bo widać, że rządzi wszystkimi Antivirusami.
Daj log z Sillent Runner powinien być na tej samej stronie, co OTL.
jessi
jessica
(jessica)
17 Listopad 2009 00:03
#8
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
Oraz nowy log z Sillenta
Nie wiem, czy OTL potrafi to usuwać - zobaczymy.
Ja w międzyczsie zacznę przygotowywać inny Script usuwający, o ile ten “nie wypali”.
jessi
LukaLEWY
(Lukasz Lewandowski)
17 Listopad 2009 00:15
#9
chyba sukces, pojawiła się osłona rezydenta wraz z restartem komputera.
log z czyszczenia
http://wklej.to/LYu2
nowy log OTL
http://wklej.to/MWyX
nowy log z Sillent Runner
http://wklej.to/9h3n
LukaLEWY
(Lukasz Lewandowski)
17 Listopad 2009 10:34
#11
Mam kolejny problem…
Każde uruchomienie komputera, po zalogowaniu do Win, rozpoczyna się komunikatem o treści:
Przeinstalowanie Avasta nic nie dało ;/
Proszę o pomoc…
jessica
(jessica)
17 Listopad 2009 11:06
#12
Jeśli masz jeszcze OTL, to:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix . Zatwierdź restart komputera.
Ja mam Avasta, i u mnie nie ma tego w Autostarcie.
jessi