Wyłączający się antywirus

drnox · 27 Listopad 2007 11:17

Od pewnego czasu mam poważny problem z programami antywirusowymi. Przez rok na moim kompie bez problemów działał sobie pakiet G-DATA Internet Security. Niestety, po wygaśnięciu licencji byłem zmuszony do wymiany oprogramowania. I tu pojawił się problem:

Niemalże każdy zainstalowany program działa w pełni… aż do następnego dnia (nie ma to związku z restartem komputera). Następnego dnia antywirus albo w ogóle się nie włącza albo włącza się, ale tryb ochrony w czasie rzeczywistym nie daje się uruchomić. :shock:

Windows nie nie wyświetla komunikatu o braku ochrony.

Przetestowałem w ten sposób (mimowolnie) całkiem sporą grupę programów antywirusowych i jedynie Kaspersky jakoś sobie z tym problemem radził. Ale i jemu skończyła się licencja.

Wśród “pokonanych” programów antywirusowych znalazły się takie pozycje jak NOD32, MKS Vir 2k7, Avira, F-Secure i kilka innych

Ostatnio zainstalowany przeze mnie program iolo Antyvirus zgłosił komunikat, że nie może włączyć tral time ochrony, ponieważ… system pracuje w trybie chronionym (safe mode). Oczywiście komputer pracuje w normalnym trybie - no chyba, że o czymś nie wiem :o

Dodam jeszcze, że za każdym razem, gdy instaluję nowego antywira skanuję wsystkie dyski i zazwyczaj nie ma tam (nie jest wykrywane) jakiegoś świństwa. Ponadto mam zainstalowany SpyBoot oraz Adaware i antyrootkita Sophos. Żaden z tych programów nie wykrywa zagrożenia.

Pisząc szczerze - mimo ładnych paru lat parania się informatyką - nie bardzo wiem, jak teraz się za to wszystko zabrać.

Pomóż, droga Redakcjo :lol:

MariuszListecki · 27 Listopad 2007 12:09

To moja propozycja regedit edycja znajdź. Wpisz G-DATA i zobacz czy coś po nim nie zostało w celu znalezienia kolejnego klucza naciśnij F3.Jak pamiętasz nazwy wszystkich programów przez ciebie testowanych to radze w regedit po wpisywać po kolei nazwy i usuwać ewentualne pozostałości.Obecnego antywirusa radzę też usunąć i po operacji w regedit zainstalować go ponownie.

Acha najlepiej regedit w tym wypadku użyć z pod trybu awaryjnego wtedy na pewno będziesz mógł usunąć wszystkie klucze

arekmalek · 27 Listopad 2007 14:09

Hijackthis - daj z niego log

Combofix - z niego też możesz dać.

drnox · 27 Listopad 2007 14:42

Jasne :mrgreen: Tak też sobie myślałem, że nie zaszkodzi zapuścić loga. Niestety - będę mógł to zrobić dopiero w weekend. W ciągu tygodnia pracuję poza miejscem zamieszkania.

Złączono Posta : 02.12.2007 (Nie) 8:57

Teraz sprawa nabrała jeszcze ciekawszych barw :o

Wróciłem wczoraj do domu i odpaliłem kompa - sytuacja wyglądała jak uprzednio - zero ochrony w czasie rzeczywistym. Ponieważ było późno - postanowiłem, że loga zdejmę dziś rano.

Przy porannym włączeniu kompa antywirus… zameldował się jakby nigdy nic. Działa wszystko - także tryb ochrony online. Tyle że… pojawiła się ikonka Windows informująca o braku ochrony przed wirusami :lol:

Ponieważ sytuacja jest i tak mocno wkurzająca - zamieszczam poniżej loga z HiJack. I mogę się założyć o wielkie piwo, że po południu, gdy włączę znowu kompa antywir znowu nie będize włączony :evil:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:31:15, on 2007-12-02

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\Explorer.EXE

E:\Program Files\Common Files\Authentium\AntiVirus\dvpapi.exe

E:\WINDOWS\system32\svchost.exe

C:\Program Files\ASUS\Probe\AsusProb.exe

E:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

F:\cdki\PowerISO\PWRISOVM.EXE

F:\video\PowerDVD\PDVDServ.exe

C:\Program Files\AntiVirus\ioloAV.exe

E:\Program Files\Spamihilator\spamihilator.exe

C:\Program Files\Gadu-Gadu\gg.exe

E:\Program Files\Microsoft ActiveSync\wcescomm.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

E:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

E:\Program Files\Cloudmark\SpamNet\OE\snoe.exe

F:\video\ss2\bin\Server4PC.exe

E:\Program Files\OpenOffice.ux.pl 2.2.0\program\soffice.exe

I:\lingua\WordWeb\wweb32.exe

E:\Program Files\OpenOffice.ux.pl 2.2.0\program\soffice.BIN

E:\PROGRA~1\MICROS~2\rapimgr.exe

E:\WINDOWS\system32\wscntfy.exe

E:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\AntiVirus\iAVEmailScanner.exe

E:\Program Files\Mozilla Firefox\firefox.exe

E:\Program Files\Outlook Express\msimn.exe

E:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://auralog.incenti.pl/portal/modportal.axrq

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [ATIPTA] "E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [ATICCC] "E:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

O4 - HKLM\..\Run: [PWRISOVM.EXE] F:\cdki\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] F:\video\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] E:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [iolo AntiVirus] "C:\Program Files\AntiVirus\ioloAV.exe"

O4 - HKLM\..\Run: [Spamihilator] "E:\Program Files\Spamihilator\spamihilator.exe"

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [EdHTML] F:\html\edhtml\EdHTML.exe /none

O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.ux.pl 2.2.0.lnk = E:\Program Files\OpenOffice.ux.pl 2.2.0\program\quickstart.exe

O4 - Startup: WordWeb.lnk = I:\lingua\WordWeb\wweb32.exe

O4 - Global Startup: ATI CATALYST – pasek zadań.lnk = E:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Cloudmark Desktop for Outlook Express.lnk = ?

O4 - Global Startup: Server4PC.lnk = F:\video\ss2\bin\Server4PC.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~2\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~2\INetRepl.dll

O9 - Extra 'Tools' menuitem: Utwórz Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~2\INetRepl.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: e:\windows\system32\iavlsp.dll

O10 - Unknown file in Winsock LSP: e:\windows\system32\iavlsp.dll

O10 - Unknown file in Winsock LSP: e:\windows\system32\iavlsp.dll

O15 - Trusted Zone: http://auralog.incenti.pl

O16 - DPF: {C7C7152F-6E85-44F3-A14B-A7F85FDDEA3B} (InstallerCtrl Class) - http://auralog.incenti.pl/bin/tol7inst.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe

O23 - Service: DvpApi (dvpapi) - Authentium, Inc. - E:\Program Files\Common Files\Authentium\AntiVirus\dvpapi.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe


--

End of file - 6333 bytes