Nie otwierają się strony programów antywirusowych

[Hajasz]

Witam.

Wygasła mi licencja w Norton Internet Security i przez około tydzień czasu

korzystałem z internetu bez Nortona. Kiedy zakupiłem licencję i chciałem ponownie

aktywować Nortona ten nie mógł się połączyć ze swoją stroną. Myślałem, że to chwilowe problemy

ale sytuacja cały czas się powtarzała. Odinstalowałem Nortona i na próbę zainstalowałem Comodo.

Programu nie mogłem ściągnąć z żadnej strony. W końcu kiedy wgrałem go od znajomego

okazało się, że ten też nie może się zaktualizować a jego strona się nie otwiera.

Zauważyłem też, że w programach uruchamiających się wraz z komputerem jest jakiś dziwny wpis.

Kiedy próbowałem go wyłączyć i usunąć ten natychmiast się pojawiał pod inną nazwą.

Poza tym komputer działa normalnie.

Ze względów czasowych na razie nie zrobiłem loga z Gmer ale jeżeli będzie konieczny to oczywiście go wstawię.

Na razie logi z OTL.

OTL.Txt

Extras.Txt

[Landuss]

 

Zauważyłem też, że w programach uruchamiających się wraz z komputerem jest jakiś dziwny wpis.

 

O jakim wpisie mowa? Ja niczego takiego nie dostrzegam w logach. na razie mimo wszystko dołącz też log z Gmer dla świętego spokoju.

[Hajasz]

Załączam zaległy log z GMER.

 

Co do wpisu to np teraz jak uruchamiam TuneUp Utilities i daję na startup manager

to widnieje wpis amon.exe gdy wyłączyłem go i usunąłem to pojawił się lexmark imagin.

Wszystkie te wpisy nie posiadają ścieżki gdzie się znajdują.

I ponownie próba wyłączenia lexmark imagin powoduje pojawienie się amon.exe i znowu po wyłączeniu

amon.exe pojawił się tym razem taki wpis 1.0.2620.138 po ósemce jest jescze kwadrat.

Gmer.txt

[Landuss]

Tylko to o czym wspominasz to przecież od drukarki Lexmark i ja w logu widzę od niej procesy w autostarcie:

 

O4 - HKLM..\Run: [lxddamon] C:\Program Files\Lexmark 2500 Series\lxddamon.exe (Lexmark)

O4 - HKLM..\Run: [lxddmon.exe] C:\Program Files\Lexmark 2500 Series\lxddmon.exe ()

 

Także nie ma w tym nic dziwnego ani niepokojącego.

 

W Gmerze natomiast jest podejrzany twór, którego OTL nie widzi:

 

File            C:\Documents and Settings\Ryszard Pietruszka\Dane aplikacji\Srcsck.exe           96256 bytes executable

 

Trzeba to usunąć i spróbujemy przez OTL.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Documents and Settings\Ryszard Pietruszka\Dane aplikacji\Srcsck.exe
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Srcsck"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Pokazujesz log z OTL powstały po restarcie oraz nowy log z Gmer.

[Hajasz]

Landuss zgadza się, bo posiadam taką drukarkę ale akurat ten wpis na pewno nie pochodzi od niej

ponieważ nie pokazuje ścieżki dostępu ani daty utworzenia. Jak pisałem próba jego wyłączenia i usunięcia

powoduje pojawienie się innego wpisu np Windows/Wind obecnie.

W wolnej chwili wykonam Twoje zalecenie i zapodam logi.

Jeszcze tylko pytanie bo zauważyłem, że w nowej wersji Gmer jest opcja quick skan.

Czy mogę jej użyć czy potrzebujesz loga z wersji standardowej ?

[Landuss]

 

Landuss zgadza się, bo posiadam taką drukarkę ale akurat ten wpis na pewno nie pochodzi od niej

ponieważ nie pokazuje ścieżki dostępu ani daty utworzenia. Jak pisałem próba jego wyłączenia i usunięcia

powoduje pojawienie się innego wpisu np Windows/Wind obecnie.

 

Wcale nie musi pokazywać ścieżki i daty i nie usuwaj tego bo uwalisz drukarkę. Infekcję masz gdzie indziej i masz podaną w skrypcie powyżej.

 

 

Jeszcze tylko pytanie bo zauważyłem, że w nowej wersji Gmer jest opcja quick skan.

Czy mogę jej użyć czy potrzebujesz loga z wersji standardowej ?

 

Wolałbym abyś zrobił pełne skanowanie.

[Hajasz]

Skrypt wykonany ale wszystko bez zmian dalej.

Dodatkowy nowy objaw to strasznie długie uruchamianie komputera.

Wpis w autostart dalej widoczny.

Dorzucam screeny z autostartu z podejrzanym programem, który zmienia nazwy:

 

Nowy log.txt

Gmer.txt

[Hajasz]

Przepraszam, że post pod postem ale temat daleko na forum i być może zapomniany.

Landuss zajmowałeś się moim tematem no ale potem miałeś sporą przerwę a problem

rozwiązany chyba ale coś mi nadal nie daje spokoju.

W związku z przerwą zapytałem o ten temat na innym forum, gdzie też zwrócono uwagę na plik, który podałeś.

Przedstawiłem tam logi po wykonaniu podanego przez Ciebie skryptu i nowe logi z Gmer i OTL.

Poproszono abym wykonał skrypt w Avenger i tak też uczyniłem.

Według mnie nie znalazł tego co miał znaleźć.

 

W autostarcie nie pojawia już się żaden dziwny wpis ale komputer

zaczął się niemiłosiernie długo uruchamiać. Pasek ładowania na ekranie windows

idzie ze 40 razy a po uruchomieniu pulpitu ciężko uruchamiają się programy i przeglądarki.

Czy dalej coś siedzi, czy problem leży gdzie indziej ?

Aha zapomniałem napisać, że strony antywirusów się otwierają.

avenger.txt

log.txt

OTL.Txt

Extras.Txt

[picasso]

W związku z przerwą zapytałem o ten temat na innym forum, gdzie też zwrócono uwagę na plik, który podałeś.

 

Przedstawiłem tam logi po wykonaniu podanego przez Ciebie skryptu i nowe logi z Gmer i OTL.

 

Poproszono abym wykonał skrypt w Avenger i tak też uczyniłem.

 

Pokaż gdzie robiono temat, bo jest tu niezgodność wyników i brak dowodu co właściwie usunęło infekcję. Podany przez Landussa pierwszy skrypt w OTL owszem nie został wykonany, gdyż wszystko zostało "sklejone" (błąd wklejania skryptu do okna OTL). Nie ma danych co robiono na innym forum, ale podany log z Avenger nie wskazuje w ogóle na wykonanie (błąd STATUS_OBJECT_NAME_NOT_FOUND), co z kolei jest sprzeczne z ostatnim skanem GMER (nie pokazuje już tego ukrytego wpisu). Tak więc podaj link do innego forum, by było wiadome co i jak robiono.

 

Poza tym, w międzyczasie uszkodziłeś wpis drukarki Lexmark, gdy temat był zaczynany poprawny wpis miał postać:

 

========== Services (SafeList) ==========

 

SRV - [2007-05-25 09:41:38 | 000,537,520 | ---- | M] ( ) [Auto | Running] -- C:\WINDOWS\system32\lxddcoms.exe -- (lxdd_device)

 

Aktualnie widać zmasakrowaną usługę Lexmark:

 

========== Services (SafeList) ==========

 

SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\lxddcoms.exe -- (lxdd_device)

 

 

W autostarcie nie pojawia już się żaden dziwny wpis ale komputer

 

zaczął się niemiłosiernie długo uruchamiać. Pasek ładowania na ekranie windows

 

idzie ze 40 razy a po uruchomieniu pulpitu ciężko uruchamiają się programy i przeglądarki.

 

Czy dalej coś siedzi, czy problem leży gdzie indziej ?

 

Jedna ze świeżych instalacji to Norton Internet Security (nieobecny, gdy temat zaczynano). To jest podejrzany.

 

 

 

.

[Hajasz]

Dzięki Picasso za odzew.

Tu jest link do tego tematu na innym forum: http://forum.dobreprogramy.pl/nie-otwieraja-sie-strony-programow-antywirusowych-t529543.html

Już wyjaśniam co i jak.

Jak słusznie zauważyłaś skrypt podany przez Landussa nie zadziałał. Potem Was nie było a problem był nadal stąd screeny z tą usługą co zmienia nazwę.

Na innym forum zgłoszono ten sam plik tylko do usunięcia przez Avenger'a. Jak się okazało Avenger go nie znalazł.

Brat coś kombinował z OTL ale nie mam z tego logów. Wydaje się, że nie ma już tego coś ponieważ udało mi się zainstalować jak zauważyłaś NIS

a przedtem nie można było nawet otworzyć strony z żadnym antywirusem. Teraz jest to możliwe.

Co do drukarki to odinstalowałem całe oprogramowanie już po zrobieniu nowych logów i zainstalowałem ponownie. Drukarka działa normalnie.

Problemem jest strasznie długie uruchamianie komputera a potem ciężko uruchamiają się inne programy i przeglądarki. Tak jakby coś je zatrzymywało albo

"zamrażało" na jakiś czas.

Czy to wina jakiegoś robaka czy coś innego ?

[picasso]

Jak słusznie zauważyłaś skrypt podany przez Landussa nie zadziałał. Potem Was nie było a problem był nadal stąd screeny z tą usługą co zmienia nazwę.

 

Na innym forum zgłoszono ten sam plik tylko do usunięcia przez Avenger'a. Jak się okazało Avenger go nie znalazł.

 

Brat coś kombinował z OTL ale nie mam z tego logów. Wydaje się, że nie ma już tego coś ponieważ udało mi się zainstalować jak zauważyłaś NIS

 

W żadnym z tematów nie ma znaków wykonania zadania, ten ukryty plik musiał zostać usunięty w inny sposób. Tego już nie zdiagnozuję, bo brak inny danych.

 

 

Problemem jest strasznie długie uruchamianie komputera a potem ciężko uruchamiają się inne programy i przeglądarki. Tak jakby coś je zatrzymywało albo

 

"zamrażało" na jakiś czas.

 

Czy to wina jakiegoś robaka czy coś innego ?

 

Przecież mówię: podejrzany jest Norton Internet Security. To jest wybitna zmiana między raportami i nowy rozbudowany obiekt w systemie. Niestety sprawdzenie wiarygodne czy antywirus ma wpływ równa się jego testowej deinstalacji, bo tylko to daje pewność odcięcia wszysatkich funkcji.

 

 

Co do drukarki to odinstalowałem całe oprogramowanie już po zrobieniu nowych logów i zainstalowałem ponownie. Drukarka działa normalnie.

 

Po wykonaniu akcji z NIS zrób na wszelki wypadek nowy raport z OTL, który mi udowodni czy uszkodzona usługa Lexmark na pewno zniknęła.

 

 

 

.

[Hajasz]

Ze względu na brak czasu nie odzywałem się w tej sprawie.

A sprawa ma się tak. Wszystko już działa poprawnie.

To straszne spowolnienie komputera było spowodowane przestawieniem

jednego z kontrolerów dysku na tryb PIO. Po przełączeniu na DMA komputer

pracuje tak jak powinien. Drukarka Lexmark działa prawidłowo.

Dla spokoju przedstawiam najświeższe logi z OTL do analizy.

OTL.Txt

Extras.Txt

[picasso]

Nic podejrzanego nie widać, a wpis Lexmark nie jest już "not found". Tylko kosmetyczne działania, tzn. usunięcie wpisów pustych i szczątków adware:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users\Dane aplikacji\Premium
%userprofile%\Dane aplikacji\BabSolution
%userprofile%\Dane aplikacji\Babylon
%userprofile%\Dane aplikacji\Mozilla\Firefox\Profiles\57iyyolf.default\searchplugins\babylon.xml
%userprofile%\Dane aplikacji\Mozilla\Firefox\Profiles\57iyyolf.default\searchplugins\BrowserProtect.xml
%userprofile%\Dane aplikacji\Mozilla\Firefox\Profiles\57iyyolf.default\searchplugins\delta.xml
 
:OTL
O3 - HKU\S-1-5-21-1935655697-1659004503-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1935655697-1659004503-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O9 - Extra Button: PokerStars.eu - {07BA1DA9-F501-4796-8728-74D1B91A6CD5} - C:\Program Files\PokerStars.EU\PokerStarsUpdate.exe File not found
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} http://update.nprotect.net/keycrypt/cabal/npkcx_inca.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ivkunbke.sys -- (ivkunbke)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva400.sys -- (XDva400)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart. Przedstaw log z wynikami usuwania OTL.

 

2. Uruchom AdwCleaner i zastosuj Usuń. Przedstaw log z usuwania utworzony na dysku C.

 

 

 

 

.

[Hajasz]

Dziękuję za podane zadania.

Tak to wygląda po ich zastosowaniu.

Jeżeli wszystko jest dobrze to możemy zamykać temat.

05262013_172248.txt

AdwCleanerS1.txt

[picasso]

Skrypt w ogóle nie wykonany. Spójrz do loga, wszystkie linie sklejone, dlatego żaden z wpisów nie został zinterpretowany ("Unable to interpret"). To już kolejny raz, gdy Twoje przeklejanie do okna OTL powoduje sklejenie wszystkich linii. Powiedz mi jak Ty przeklejasz dane z posta do okna i z poziomu jakiej przeglądarki. W związku z tym, że skrypt OTL się nie wykonał, a AdwCleaner wykonał część zadań w nim sprecyzowanych, podaj nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[Hajasz]

Witam ponownie.

Z powodu braku czasu i pracy na laptopie nie zaglądałem do klasycznego PC.

Co do wklejania to wykonuję to standardowo czyli zaznaczam myszą tekst do skopiowania

a następnie w oknie OTL na skrypt wklejam. Nie wiem czemu skrypt się skleił.

Moje niedopatrzenie, że nie zauważyłem tego i tak poszło. Teraz pilnuję tego.

Tak się prezentuje nowy log z OTL:

OTL.Txt

[picasso]

Żadnych zmian nie ma (poza tym co robił AdwCleaner), skrypt nie wykonany i jak sądzę z tego samego powodu co dwa razy wcześniej (transformacja skryptu podcasz wklejania).

 

1. Otwórz Google Chrome i wejdź do ustawień, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy Delta Search.

 

2. Skrypt nieco inny do wykonania, bo są zmiany po AdwCleaner:

 

:OTL
O3 - HKU\S-1-5-21-1935655697-1659004503-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1935655697-1659004503-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O9 - Extra Button: PokerStars.eu - {07BA1DA9-F501-4796-8728-74D1B91A6CD5} - C:\Program Files\PokerStars.EU\PokerStarsUpdate.exe File not found
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} http://update.nprotect.net/keycrypt/cabal/npkcx_inca.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva400.sys -- (XDva400)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ivkunbke.sys -- (ivkunbke)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Hajasz, jak mówię: skrypt ma być przeklejony do okna 1:1 jak to widać w poście, nie może być nic sklejone w jednej linii, "ENTERy" mają być dokładnie zachowane. Skoro jest problem z kopiowaniem, użyj innej przeglądarki lub wklej treść najpierw do Notatnika / innego edytora tekstu i w nim popraw przejścia do nowej linii, a dopiero po tym przeklej do okna OTL.

 

 

 

.

[Hajasz]

Skrypt wykonany.

Coś jeszcze pozostało do zrobienia?

06142013_205607.txt

[picasso]

Skrypt wykonany. Czyli na koniec standardowe kroki:

 

1. Usuń narzędzia: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Ostatni OTL Extras (nie wiadomo czy to nadal adekwatne) wskazywał, że do aktualizacji są te programy:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}" = Skype™ 6.1

"{AC76BA86-7AD7-1033-7B44-AB0000000001}" = Adobe Reader XI (11.0.02)

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

"ENTERPRISE" = Microsoft Office Enterprise 2007 (instalacja SP3)

"Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl)
 

========== HKEY_USERS Uninstall List ==========[/color]
 

[HKEY_USERS\S-1-5-21-1935655697-1659004503-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Google Chrome" = Google Chrome 27.0.1453.94
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_202.dll ()

 

 

 

.

[Hajasz]

Bardzo dziękuję za poświęcony czas i pomoc.

Temat można zamknąć.