kwasman Opublikowano 28 Lutego 2013 Zgłoś Udostępnij Opublikowano 28 Lutego 2013 Witam, mam następujący problem. Co jakiś czas wyskakuje mi powiadomienie a AVG o tym, że usunięto zagrożenie z svhost. Sytuacja powtarza się tak z raz dziennie. Stwierdziłem, że zobaczę co na to wbudowane zabezpieczenia Windowsa - i kiedy zobaczyłem że nie mogę włączyć ani centrum akcji, ani Windows Defendera, zorientowałem się że coś musi być konkretnie nie tak. Problem nie ustał po dogłębnym skanowanie AVG (które, notabene, robiłem za każdym razem kiedy wyskakiwało powiadomienie), użyciu CCleaner'a i dokładnym skanowanie Malbytes Antimalware. Może ma to jakiś związek - regularnie chce mi się aktualizowac Java, a kiedy się na to zgadzam - dostaję komunikat że java jest aktualna. Ogólnie komp zamula coraz bardziej, wydaje mi się że coś jest na rzeczy. W załączniku skan OTL. Proszę o pomoc, z góry dzięki. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2013 Zgłoś Udostępnij Opublikowano 28 Lutego 2013 Temat przenoszę do działu diagnostyki malware, bo system zainfekowany (sfałszowany "Adobe" w starcie). Log z OTL niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiopna na "Użyj filtrowania"). Nie podałeś w czym dokładnie widziana infekcja (precyzyjna ścieżka dostępu): Co jakiś czas wyskakuje mi powiadomienie a AVG o tym, że usunięto zagrożenie z svhost. Przechodząc do usuwania infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [Adobe] C:\Users\Leszek Turner\AppData\Roaming\Adobe\color.vbe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\msktbird@mcafee.com: C:\Program Files\McAfee\MSK [2013-02-28 18:39:16 | 000,000,401 | ---- | M] () -- C:\Users\Leszek Turner\AppData\Roaming\sp_data.sys :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (przypominam o pliku Extras) + Farbar Service Scanner. . Odnośnik do komentarza
kwasman Opublikowano 28 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2013 Sorry, nie doczytałem dokładnie jak trzeba ustawić OTL'a, a potem nie mogłem edytować posta Niestety nie zrobiłem screen'a tego zainfekowanego pliku... W załączniku wyniki skanerów. Extras3.Txt FSS3.txt OTL3.Txt Odnośnik do komentarza
picasso Opublikowano 1 Marca 2013 Zgłoś Udostępnij Opublikowano 1 Marca 2013 Infekcja pomyślnie usunięta. Usługa Centrum jest wyłączona, ale w aktualnej sytuacji powinno być możliwe jej włączenie. Do wykonania następujące czynności: 1. Na Pulpicie klawisz z flagą Windows + R i w polu Uruchom wklep services.msc. Na liście usług dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. 2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na koniec drobne aktualizacje, czyli usuń stare wersje Adobe i Java zastępując najnowszymi oraz zaktualizuj pakiet Office 2010 (instalacja SP1): KLIK. Wg raportu obecnie w systemie są wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217011FF}" = Java 7 Update 11"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.5) MUI"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 11.5.502.146 (wtyczka dla Opera)"Office14.OMUI.pl-pl" = Microsoft Office Language Pack 2010 - Polish/Polski"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 . Odnośnik do komentarza
kwasman Opublikowano 1 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 1 Marca 2013 Dzięki, teraz już centrum się odpala, wywaliłem AVG i zaktualizowałem Windows Defendera, komp też odpala się wyraźnie szybciej. Jednak pojawił się inny problem - nie mogę włączyć zapory systemu Windows. W załączniku screen błędu. Odnośnik do komentarza
picasso Opublikowano 1 Marca 2013 Zgłoś Udostępnij Opublikowano 1 Marca 2013 wywaliłem AVG i zaktualizowałem Windows Defendera, komp też odpala się wyraźnie szybciej. Wbudowany w system Windows Defender (czyli nowa wersja MSSE integrowana w Windows 8) powinien był się wyłączyć przy obecności doinstalowanego antywirusa zewnętrznego. Niemniej, jeśli po deinstalacji AVG system szybciej chodzi, to OK. Jednak pojawił się inny problem - nie mogę włączyć zapory systemu Windows. W załączniku screen błędu. Widziałam to już w logu z Farbar Service Scanner, ale założyłam, że to wynik celowych działań... Usługa jest wyłączona: Windows Firewall:=============mpsdrv Service is not running. Checking service configuration:The start type of mpsdrv service is OK.The ImagePath of mpsdrv service is OK.Checking LEGACY_mpsdrv: ATTENTION!=====> Unable to open LEGACY_mpsdrv\0000 registry key. The key does not exist. MpsSvc Service is not running. Checking service configuration:The start type of MpsSvc service is set to Disabled. The default start type is Auto.The ImagePath of MpsSvc service is OK.The ServiceDll of MpsSvc service is OK. W services.msc dwuklik w usługę Zapora systemu Windows i Typ uruchomienia ustaw na Automatyczny. Zresetuj system. . Odnośnik do komentarza
Rekomendowane odpowiedzi