Wyłączanie antywirusa,oraz próby uzyskania dostępu

snike26 · 7 Grudzień 2010 16:36

Witam serdecznie.

Ostatnio po ściągnięciu pewnego trainera mój antywirus zaczął usuwać co jakiś czas tego wirusa:

2010-12-07 13:42:20 Ochrona systemu plików w czasie rzeczywistym plik C:\System Volume Information_restore{EC8BAA17-935F-42FD-B4A0-A022901620A7}\RP425\A0133860.exe prawdopodobnie odmiana wirusa Win32/Agent.INROPMW koń trojański wyleczony przez usunięcie - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\WINDOWS\System32\svchost.exe.

Dodam że trainer już usunąłem ale to coś chyba dalej siedzi w moim systemie bo znowu wywala mi taki komunikat i na dodatek w pasku narzędzi wyłącza mi ikonkę mojego antywira.

Daje logi:

http://wklej.org/id/433567/ oraz 2 Extras http://wklej.org/id/433570/

Z góry dziękuje za pomoc.

krzych5610 · 7 Grudzień 2010 21:53

Witam!

Proszę wykonać skan całego dysku z poziomu CD-Boot, skanerem dostępnym na http://support.kaspersky.com/pl/faq/?qid=208282170 - pozycja Pakiety instalacyjne produktów Kaspersky Lab można pobierać bezpłatnie, w dowolnym czasie.

Pobierz pakiet instalacyjny Kaspersky Rescue Disk 10.

snike26 · 8 Grudzień 2010 19:29

Ściągnąłem i jest to spakowane,nie bardzo wiem co dalej z tym zrobić.A logi czyste?Może przez OTL da się to usunąć?

Leon1 · 8 Grudzień 2010 20:07

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/ … vc1dmo.cab (Reg Error: Key error.) MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - File not found MsConfig - StartUpReg: RGSC - hkey= - key= - F:\GRY\GTA IV\Rockstar Games Social Club\RGSCLauncher.exe File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Program Files\Nowe Gadu-Gadu\gg.exe”=- “C:\Program Files\GOG.com\The Nations Gold\bin\game.exe”=- “F:\GRY\Emergency\Mods\Winterberg Winter 2009\WinterbergUpdater.exe” = F:\GRY\Emergency\Mods\Winterberg Winter 2009\WinterbergUpdater.exe:*:Enabled:WinterbergUpdater – File not found “F:\GRY\Earth\Earth 2160\Earth2160_NO_SSE.exe”=- “F:\GRY\Earth\Earth 2160\Earth2160_SSE.exe”=- “F:\GRY\Emergency\Em4.exe”=- “C:\Program Files\SecondLifeViewer2\SLVoice.exe”=- “F:\GRY\Emergency\ModInstaller.exe”=- “C:\Program Files\Alien Nations 2 PL\Bin\Game.exe”=- “F:\GRY\Rising Kingdoms\RK.exe”=- “F:\GRY\R.U.S.E\Steam.exe”=- “F:\GRY\Apache\Apache Air Assault\launcher.exe”=- “F:\GRY\Apache\Apache Air Assault\yuPlay\yuPlay.exe”=- :Commands [emptytemp] [start explorer] [Reboot]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

plik

przeskanuj na http://virscan.org/

podaj co zawiera

snike26 · 9 Grudzień 2010 18:34

Wyniki skanerów:

Nazwa pliku : hpe200D.dll

Rozmiar pliku : 148736 byte

Typ pliku : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi

MD5 : cbf470b77b2db2f25c56e05ce391f18a

SHA1 : a7b49ae6c6ab2f51d27bea49c624680066315676

Wyniki skanera

Wyniki skanera : Wszystkie skanery zgłosiły brak szkodliwego oprogramowania!

Czas : 2010/12/09 19:17:36 (CET)

oraz nowe logi

OTLhttp://www.wklej.org/id/434940/ i 2 EXTRAS http://www.wklej.org/id/434941/

Leon1 · 9 Grudzień 2010 18:53

Otwórz notatnik i wklej

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Program Files\Nowe Gadu-Gadu\gg.exe”=- “C:\Program Files\GOG.com\The Nations Gold\bin\game.exe”=- “F:\GRY\Emergency\Mods\Winterberg Winter 2009\WinterbergUpdater.exe”=- “F:\GRY\Earth\Earth 2160\Earth2160_NO_SSE.exe”=- “F:\GRY\Earth\Earth 2160\Earth2160_SSE.exe”=- “F:\GRY\Emergency\Em4.exe”=- “C:\Program Files\SecondLifeViewer2\SLVoice.exe”=- “F:\GRY\Emergency\ModInstaller.exe”=- “C:\Program Files\Alien Nations 2 PL\Bin\Game.exe”=- “F:\GRY\Rising Kingdoms\RK.exe”=- “F:\GRY\R.U.S.E\Steam.exe”=- “F:\GRY\Apache\Apache Air Assault\launcher.exe”=- “F:\GRY\Apache\Apache Air Assault\yuPlay\yuPlay.exe”=-

zapisz jako plik.reg >> wszystkie pliki

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

W OTL kilknij CleanUp (Sprzątanie)

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

możesz włączyć przywracanie

snike26 · 9 Grudzień 2010 19:41

Skanowanie przeprowadzone-czysto.

Wielkie dzięki Leon$.Jest pan Wielki.Podziwiam wiedzę i pozdrawiam serdecznie.