Problemy z Eset Smart Security 5

romala · 4 Listopada 2012

Witam serdecznie wszystkich którzy pomagają na tym forum a także tych co czytają pomocne informacje.

Zacznę od początku Komputer Lenovo Think pad R61i mojego znajomego został zainfekowany, zaczęło sie od zniknięcia ikonek z trayu.

Naprawiłem ikony (system vista busines sp2) 32bity antyvirus Eset Smart Secuity 5 system aktualizowany na bierząco tak jak i antywir.

Parę dni temu znajomy zobaczył aktualizację antywira na ekranie inaczej niż zwykle klikął dalej i poleciało - odinstalowało program i teraz nie można go ponownie zainstalować. Wszystko wygląda podobnie jak tu :http://www.fixitpc.p...zji-zeroaccess/ czytałem i staram sie coś z tym zrobić. Mam dostep do internetu na tym koputerze oraz inne koputery stacjonarne potrzebne ewentualnie. Na nich mam możliwości przeglądania dysków za pomocą stacji dokującej dyski - tak dowiedziałem sie o infekcji (J:\Windows\Installer\{b5151880-5668-530d-48a2-c138ac1d34ae}\U\00000001.@ - Win32/Conedex.J koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1]) , było to dziś rano na moim komputerze z podłączonym jego dyskiem.

Prubowałem jak kolega odinstalować Eseta za pomocą deinstalatorów myśląc że to jest przyczyna niepowodzeń instalacji. Jednak bez powodzenia

nadmienię że centrum zabezpieczeń uruchamia się, nie włącza sie zapora pisząc (nie można uruchomić usługi Centrum zabezpieczeń), nie działa też Windows Defender (nie można zainicjować aplikacji:0x80070006. Nieprawidłowe dojście). Instalacje Eset cofają się jak u kolegi zauważyłem w pdglądzie zdarzeń kod błedu tych nieudanych instalacji 1603 jeśli to coś pomorze. Jest jeszcze kwestia WMI które wciąż ma błędy 0x80004005 prawdopodobie to pokłosie infekcji ale nie jestem pewien. Idąc tym tropem dotarłem do windows instalera 3.11 chciałem go zainstalować ponownie i tu zaś ciekawostka bo system pisze że brak miejsca na dysku (wolne 250Gb). Uruhomiłem na nim do tej pory dwa programy :HitmanPro36 którego log załaczama obecnie leci na nim Comodo w trybie pełnego skanowania i znalazło (Disable UAC) ne tę chwilę. Proszę o pomoc w naprawie tego komputera i służę w miarę oczywiście czasu odpowiednimi logami etc programy się ściągnie zestaw już przygotowałem.

Wklejam log z Hitmana :

HitmanPro 3.6.2.173
[url="http://www.hitmanpro.com"]www.hitmanpro.com[/url]
  Computer name . . . . : NOTEBOOK-PC
  Windows . . . . . . . : 6.0.2.6002.X86/2
  User name . . . . . . : Notebook-PC\Wojciech
  UAC . . . . . . . . . : Disabled
  License . . . . . . . : Trial (30 days left)
  Scan date . . . . . . : 2012-11-04 14:31:18
  Scan mode . . . . . . : Normal
  Scan duration . . . . : 4m 19s
  Disk access mode  . . : Direct disk access (SRB)
  Cloud . . . . . . . . : Internet
  Reboot  . . . . . . . : No
  Threats . . . . . . . : 3
  Traces  . . . . . . . : 137
  Objects scanned . . . : 1 665 014
  Files scanned . . . . : 32 223
  Remnants scanned  . . : 358 560 files / 1 274 231 keys
Miniport ____________________________________________________________________
  Primary
  DriverObject . . . : 8A8D7B18
  DriverName . . . . : \Driver\iaStor
  DriverPath . . . . : \SystemRoot\system32\DRIVERS\iaStor.sys
  StartIo  . . . . . : 00000000 +0
  IRP_MJ_SCSI  . . . : 89E631E8 +0
  Solution
  DriverObject . . . : 8A8D7B18
  DriverName . . . . : \Driver\iaStor
  DriverPath . . . . : \SystemRoot\system32\DRIVERS\iaStor.sys
  StartIo  . . . . . : 00000000 +0
  IRP_MJ_SCSI  . . . : 8D4A6C1A \SystemRoot\system32\DRIVERS\iaStor.sys+39962
Malware _____________________________________________________________________
  C:\Users\Wojciech\AppData\Local\Temp\49EC.tmp -> Deleted
  Size . . . . . . . : 298 345 bytes
  Age  . . . . . . . : 152.8 days (2012-06-04 19:48:20)
  Entropy  . . . . . : 7.9
  SHA-256  . . . . . : 9AA4E6959F9BDE8E7DF7FCE977C2C2F1E9D5A0D6C76290450E5D89718B865529
> G Data . . . . . . : Gen:Heur.FakeAV.2 (Engine A)
> DrWeb  . . . . . . :  Trojan.Fakealert.30673
> Ikarus . . . . . . : Trojan.Win32.FakeAV!IK
  Fuzzy  . . . . . . : 118.0
  C:\Users\Wojciech\AppData\Local\Temp\8348.tmp -> Deleted
  Size . . . . . . . : 347 812 bytes
  Age  . . . . . . . : 157.8 days (2012-05-30 18:42:02)
  Entropy  . . . . . : 7.7
  SHA-256  . . . . . : CBEB98B6C58E38AED52CFC2EEDB6ED9BBB881CF48165E0C9D788630501729A4F
> G Data . . . . . . : Gen:Heur.FakeAV.2 (Engine A)
> DrWeb  . . . . . . :  Trojan.Fakealert.30673
> Ikarus . . . . . . : Trojan-PWS.Win32.Tepfer!IK
  Fuzzy  . . . . . . : 118.0
  C:\Users\Wojciech\Downloads\SoftonicDownloader_dla_hitman-pro.exe -> Quarantined
  Size . . . . . . . : 373 416 bytes
  Age  . . . . . . . : 0.0 days (2012-11-04 14:29:50)
  Entropy  . . . . . : 8.0
  SHA-256  . . . . . : AD2E53E617A85C7976A40742091377F5FF81B8FF267CBA9370E748B5D61EBB4B
  Product  . . . . . : Softonic Downloader
  Publisher  . . . . : Softonic
  Description  . . . : Softonic Downloader
  Version  . . . . . : 1.35.7.0
  Copyright  . . . . : Copyright (C) 2012
  RSA Key Size . . . : 2048
  Authenticode . . . : Valid
  Running processes  : 3640
> DrWeb  . . . . . . : Infected
  Fuzzy  . . . . . . : 101.0
  References
	 HKU\S-1-5-21-1205817307-364171706-2712646163-1002\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Users\Wojciech\Downloads\SoftonicDownloader_dla_hitman-pro.exe
  Network Ports
	 173.194.70.113:80
	 2.21.36.220:80
	 208.91.168.36:80
	 209.85.148.149:80
	 217.110.110.231:80
	 90.84.55.33:80
	 90.84.55.73:80
	 94.127.76.140:80
	 95.110.163.141:80

Potential Unwanted Programs _________________________________________________
  HKU\S-1-5-21-1205817307-364171706-2712646163-1002\Software\Softonic\ (Softonic)
Cookies _____________________________________________________________________
  C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.yieldmanager.com
  C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ads.idg.pl
  C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net
  C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:invitemedia.com
  C:\Users\Wojciech\AppData\Local\Google\Chrome\User Data\Default\Cookies:tradedoubler.com
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\17NJZK7D.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\1K3G9128.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\20ED86TE.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\23M9YZ0V.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\35DOR9LT.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\3FYHW0B6.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\5N17NLEL.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\6EXOGM60.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\6YAIA5YI.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\70ZPXT26.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\7UTSYM1G.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\8UYVJRD0.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\AXDVZE26.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\CQNXTH27.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\FVY4L5ZW.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\GFJ5469A.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\HN819TGY.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\I2AFG2DQ.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\JJ7CSONI.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\LC8TAJTE.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\M35NU4S6.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\M872UABJ.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\MYS6FVNQ.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\OXFE87PY.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\PAZK3CM6.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\QCRLEVPA.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\QTLN3IAI.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\SFUZCH6Q.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\TRF727VB.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\U5DYMPEG.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\USD0U2F2.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\UVITEXVS.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\UZEYCTZB.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\VLNZB1I4.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\WHD6T77T.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@ads.businessclick[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@ads.lzjl[2].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@adtech[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@atdmt[2].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@clicksor[2].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@content.yieldmanager[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@counter.hitslink[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@int.sitestat[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@int.sitestat[2].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@invitemedia[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@media6degrees[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@microsoftsto.112.2o7[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@myroitracking[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@yadro[2].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\WY7D1R6U.txt
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:2o7.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.360yield.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.adocean.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.fresh-market.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.medigo.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.yieldmanager.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.zanox.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adbrite.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.businessclick.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.cyfrowe.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.ecpm.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.g24.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.motmedia.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.o2.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.okazje.info.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.ookla.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.otopr.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.pointroll.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.szukajauto.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.undertone.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adserv.legitreviews.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adserver.doba.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adserver.e-ipm.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:advertising.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adviva.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:apmebf.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:at.atwola.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:atdmt.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:bs.serving-sys.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:burstnet.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:casalemedia.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:counter.hitslink.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:cubegroup.122.2o7.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:daimlerag.122.2o7.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:doubleclick.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:edge.ru4.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:edsa.122.2o7.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:fastclick.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:getclicky.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:gmeurope.112.2o7.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:in.getclicky.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:int.sitestat.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:invitemedia.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:media6degrees.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:mediaplex.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:microsoftinternetexplorer.112.2o7.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:nissaneurope.112.2o7.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:pointroll.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:revsci.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ru4.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:server.cpmstar.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:serving-sys.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:smartadserver.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:specificclick.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:stat.4u.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:statcounter.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:static.getclicky.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:statse.webtrendslive.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:track.adform.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:tradedoubler.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:www.burstnet.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:www.etracker.de
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:www.googleadservices.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:yadro.ru
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:zedo.com

Pozdrawiam i czekam na ewentualne sugestie.

Witam ponownie wkleiłem dodatkowe plik logi programów.

Nadmieniam iż po zainstalowaniu i przeskanowaniu programami których logi wkleiłem program antywirusowy zainstalował sie poprawnie i działa. Zapora zaaczyłe sie poprawnie i działa,jedynie windows defender nie uruchomił sie w ogóle. Zastanawiam sie czy mając program Eset smart Security walczyć o defendera - zasadniczo mogą sie zwalczać. Poradźcie co dalej z tym robić zaporę samodzielnie wyłaczyłem gdyż Eset smart security posiada swoją czy słusznie postępuję?

Jest 20 z minutami po automatycznej aktualizacji windows defender pobrał aktualizację i właczył sie normalnie. Wygląda na to iż wrociło wszystko do normy.

Pytanie -- co spowodowało te problemy i jak tego uniknąć w przyszłości.

Pozdrawiam

picasso · 5 Listopada 2012

Nadmieniam iż po zainstalowaniu i przeskanowaniu programami których logi wkleiłem program antywirusowy zainstalował sie poprawnie i działa. Zapora zaaczyłe sie poprawnie i działa,jedynie windows defender nie uruchomił sie w ogóle. Zastanawiam sie czy mając program Eset smart Security walczyć o defendera - zasadniczo mogą sie zwalczać. Poradźcie co dalej z tym robić zaporę samodzielnie wyłaczyłem gdyż Eset smart security posiada swoją czy słusznie postępuję?

Na temat używania ComboFix: KLIK. Dało się wszystko naprawić bez ComboFix. Wystarczyło uruchomić mało inwazyjny ServicesRepair. Skoro używałeś ComboFix, to on naprawiał usługi:

tak dowiedziałem sie o infekcji (J:\Windows\Installer\{b5151880-5668-530d-48a2-c138ac1d34ae}\U\00000001.@ - Win32/Conedex.J koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1]) , było to dziś rano na moim komputerze z podłączonym jego dyskiem.

(...)

Pytanie -- co spowodowało te problemy i jak tego uniknąć w przyszłości.

Troja ZeroAccess, którego komponent w C:\Windows\Installer zakreślasz. Kasuje z rejestru całą grupę usług: Zapora systemu Windows (BFE + MpsSvc + SharedAcccess), Centrum zabezpieczeń, Windows Update (BITS+wuauserv), Windows Defender. Usługa BFE (czyli Podstawowy aparat filtrowania) jest nadrzędną zależnością dla programu ESET. Dopóki ta usługa nie jest odtworzona, ESET nie będzie działał.

Jest jeszcze kwestia WMI które wciąż ma błędy 0x80004005 prawdopodobie to pokłosie infekcji ale nie jestem pewien.

Błędy WMI zapewne pochodziły z modyfikacji ZeroAccess w kluczu {F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}. Aktualnie klucz już poprawny (ktoryś ze skanerów musiał to zresetować):

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]"" = %systemroot%\system32\wbem\wbemess.dll -- [2009-04-11 07:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

Idąc tym tropem dotarłem do windows instalera 3.11 chciałem go zainstalować ponownie i tu zaś ciekawostka bo system pisze że brak miejsca na dysku (wolne 250Gb).

To działanie nie miało sensu. Wydane wersje Instalatora Windows: KLIK. Jest tu system Vista SP2, który ma wbudowany Windows Installer 4.5. Nie można nadpisać starszą wersją.

"Windows Installer 4.5 4.5.6002.18005 Released with Windows Vista with Service Pack 2 (SP2) and Windows Server 2008 with Service Pack (SP2.)"

Tu nie koniec działań, ComboFix wcale nie usunął infekcji. W logu z OTL stoją nadal komponenty trojana ZeroAccess:

========== ZeroAccess Check ========== 
[2011-11-18 21:23:34 | 000,002,048 | -HS- | M] () -- C:\Windows\Installer\{b5151880-5668-530d-48a2-c138ac1d34ae}\@
[2011-11-18 21:23:34 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{b5151880-5668-530d-48a2-c138ac1d34ae}\L
[2012-11-04 10:25:20 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{b5151880-5668-530d-48a2-c138ac1d34ae}\U
[2011-11-18 21:23:34 | 000,002,048 | -HS- | M] () -- C:\Users\Wojciech\AppData\Local\{b5151880-5668-530d-48a2-c138ac1d34ae}\@
[2011-11-18 21:23:34 | 000,000,000 | -HSD | M] -- C:\Users\Wojciech\AppData\Local\{b5151880-5668-530d-48a2-c138ac1d34ae}\L
[2011-11-18 21:23:34 | 000,000,000 | -HSD | M] -- C:\Users\Wojciech\AppData\Local\{b5151880-5668-530d-48a2-c138ac1d34ae}\U

... oraz pokłosie modyfikacji ZeroAccess nieprawidłowo czymś naprawiane (klucz w HKCU nie może być "naprawiany", musi być skasowany):

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]"ThreadingModel" = Both
"" = %SystemRoot%\system32\shell32.dll -- [2012-06-08 18:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)

Konsekwencje obecności tego klucza: aktualnie w systemie powinien być problem z zapamiętywaniem układu ikon Pulpitu i widoków folderów.

1. Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz:

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Windows\Installer\{b5151880-5668-530d-48a2-c138ac1d34ae}
C:\Users\Wojciech\AppData\Local\{b5151880-5668-530d-48a2-c138ac1d34ae}
 
:OTL
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=0.8.0: "C:\Program Files\VideoLAN\VLC\mozilla\npvlc.dll" File not found
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
DRV - File not found [Kernel | Boot | Stopped] --  -- (wayuia)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\Wojciech\AppData\Local\Temp\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. System zostanie zrestartowany.

3. Zrób nowy log OTL z opcji Skanuj. Dodatkowo na wszelki wypadek podaj skan na wersje pliku services.exe, uruchom SystemLook i w oknie wklej:

:filefind

services.exe

Klik w Look.

.

romala · 12 Listopada 2012

Witam ponownie wykonałem usunięcie klucza w rejestrze który podałeś, wykonałem podany skrypt. Dodałem plik wynik scanu OTL.

Jednak nie bardzo wiem czym wykonać scan services. Pobrałem program DLL Suite i podaję wynik scanu. Proszę o komentaż

Czy innym programem wykonać scan? Plik jest długi chciałem dać worda ale napisało że nie mam uprawnień do wysyłania takich plików.

Czekam na wypowiedź i pozdrawiam.

SystemLook 30.07.11 by jpshortstuff

Log created at 18:13 on 12/11/2012 by Wojciech

Administrator - Elevation successful

========== filefind ==========

Searching for "services.exe"

C:\Windows\erdnt\cache\services.exe --a---- 279552 bytes [16:06 04/11/2012] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

C:\Windows\System32\services.exe --a---- 279552 bytes [14:08 05/01/2012] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe --a---- 279552 bytes [08:35 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [10:48 12/11/2011] [22:33 18/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [14:08 05/01/2012] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

-= EOF =-

OTL.Txt

DLL Suite raport.txt

picasso · 13 Listopada 2012

"Podałeś" = jestem kobietą. Zadania wykonane, możesz kończyć sprawy:

1. ComboFix używany, ale nie został prawidłowo odinstalowany. Nie widzę na dysku pliku ComboFix.exe, pobierz ponownie na Pulpit (KLIK). Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

C:\Users\Wojciech\Desktop\ComboFix.exe /uninstall

Po ukończeniu pracy deinstalacyjnej kolejne czystki: w OTL zastosuj Sprzątanie, przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

2. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wg raportu są obecnie zainstalowane:

========== HKEY_LOCAL_MACHINE Uninstall List ========== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java 6 Update 2
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.5
"{AC76BA86-7AD7-1033-7B44-A80000000002}" = Adobe Reader 8
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

Czyli: stare Adobe i Java odinstaluj przed instalacją najnowszych wersji, do aktualizacji Skype i Firefox (o ile to nadal aktualne)

3. Prewencyjnie zmień hasła logowania w serwisach.

Jednak nie bardzo wiem czym wykonać scan services. Pobrałem program DLL Suite i podaję wynik scanu.

"skan services"? Do podstawowej weryfikacji służy Farbar Service Scanner. Nie prosiłam o niego z prostego powodu: użyty ComboFix. Mówiłam przecież "Skoro używałeś ComboFix, to on naprawiał usługi". Ty z kolei potwierdzałeś, że usługi naprawione:

Nadmieniam iż po zainstalowaniu i przeskanowaniu programami których logi wkleiłem program antywirusowy zainstalował sie poprawnie i działa. Zapora zaaczyłe sie poprawnie i działa,jedynie windows defender nie uruchomił sie w ogóle. Zastanawiam sie czy mając program Eset smart Security walczyć o defendera - zasadniczo mogą sie zwalczać. Poradźcie co dalej z tym robić zaporę samodzielnie wyłaczyłem gdyż Eset smart security posiada swoją czy słusznie postępuję?

(a Windows Defender jest deaktywowany przez zewnętrzne programy antywirusowe)

DLL Suite to nie wiem skąd Ci przyszedł do głowy, całkowity brak dopasowania do tematu, inna sfera komponentów. I od takich programów z daleka na Vista / Windows 7, bo można jeszcze więcej zaszkodzić. Log nieczytelny zresztą (wszystko sklejone), ale nie mam go zamiaru analizować, bo z tego nic nie przyjdzie. Jedyne wiarygodne narzędzie do sprawdzania poprawności plików to systemowe SFC (KLIK). Tu nie ma podstaw do jego użycia, nie ten wariant ZeroAccess.

.

romala · 13 Listopada 2012

Dziekuję slicznie za pomoc w ogarnięciu tego bałaganu Przepraszam za męskie wstawki nie zauważyłem poprostu sorry

Przeinstalowuję programy o których Pisałaś komputer działa normalnie jeszcze raz dzieki -- temat zamknięty

Mam nadzieję że jeszce razem ponaprawiamy co nie co, kompów sporo przewija sie u mnie ostatnimi laty ale pierwszy raz nie byłem pewien jakie będą skótki być może dlatego że mało czytam (brak czasu) ale będę sie starał.

Zaloguj się

Problemy z Eset Smart Security 5

Rekomendowane odpowiedzi

romala

Odnośnik do komentarza

picasso

Odnośnik do komentarza

romala

Odnośnik do komentarza

picasso

Odnośnik do komentarza

romala

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność