Problem z wirusem i zaporą

[Pomocyy]

Witam. Posiadam problem z wirusem, który próbowałem rozwiązać już tutaj - http://forum.pclab.pl/topic/877641-Problem-z-wirusem-i-zaporą/

 

Od dwóch dni mam problem z zaporą windows 7 - mianowicie nie moge jej uruchomić... Wyskakuje taki błąd - http://www.iv.pl/images/48245029172214238460.png

 

Robiłem wszystko tak jak jest napisane w temacie, który podałem, mianowicie - wszedłem w Start > w wyszukiwaniu wpisałem Usługi, "Zapora systemu Windows" i typ uruchomienia było '' wyłączony '', daje na automatyczny i normalnie moge włączyć zapore, jednak gdy uruchomie ponownie system, to znów w Usługach jest na '' wyłączony '', a zapory nadal włączyć nie moge ;/

To samo z Centrum zabezpieczeń, jest na '' wyłączony '', daje na '' automatyczny ( opóźnione uruchamianie), i jest okej, ale jak zresetuje kompa, to znów na '' wyłączony ''

 

Kolejnym problemem jest wirus - http://www.iv.pl/images/20297584145345461043.png

 

Moge to usunąć, jednak gdy uruchamiam ponownie system to ten wirus znowu jest, a jak widać to trojan...

 

Tutaj logi z OTL :

 

Extras.txt - http://wklej.org/id/1035087/
OTL.txt - http://wklej.org/id/1035088/

[picasso]

Obowiązkowym raportem jest także GMER. Podałeś mi stare logi z OTL, które są z wczoraj i sprzed manipulacji tamtego pomocnika. Proszę o nowe logi zrobione teraz. I wtedy przejdę do działania. Od razu skomentuję, że problem jest oczywisty:

 

Tu działa jawna infekcja symująca "Adobe", nie została zauważona:

 

O4 - HKLM..\Run: [Adobe] C:\Users\user\AppData\Roaming\Adobe\color.vbe ()

 

Dodatkowa modyfikacja infekcji to ukryty status Centrum (by zagłuszyć komunikaty o wyłączonej Zaporze):

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1

 

A usługa Zapory jest po prostu wyłączona i aktywna infekcja zapobiega przestawieniu jej stanu.

 

 

 

.

[Pomocyy]

Okej przepraszam, już robie logi GMER'em i OTL'em, zaraz wrzuce.

 

 

Logi z OTL :

 

Extras.txt - http://wklej.org/id/1036090/

OTL.txt - http://wklej.org/id/1036091/

 

Z GMER'a nie moge dać, bo podczas szukania zacina sie... Tzn. nie pojawia sie, że przestał działać, tylko po prostu przestaje szukać, a ja nie moge nić kliknąć, ani stop, ani kopiuj, nawet wyłączyć nie moge... Nic po prostu sie nie da ;/

[picasso]

Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Posty połączyłam.

 

Będę także usuwać niedokładnie usunięte adware oraz szczątki przeglądarek (niektóre zapewne dorobione przez adware).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2:4bit: - BHO: (no name) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - No CLSID value found.
O4 - HKLM..\Run: [Adobe] C:\Users\user\AppData\Roaming\Adobe\color.vbe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
O9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
 
:Files
C:\Users\user\AppData\Roaming\ExpressFiles
C:\Users\user\AppData\Roaming\GoforFiles
C:\Users\user\AppData\Roaming\Media Finder
C:\Users\user\AppData\Roaming\ZLEWypWAefM
C:\Users\user\AppData\Local\Google
C:\Users\user\AppData\Roaming\mozilla
C:\Program Files (x86)\mozilla firefox
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Google]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{44BAB083-9C74-4C0A-BD65-667CC5FEFEC2}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Włącz usługi. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Zapora systemu Windows i Typ uruchomienia przestaw na Automatyczny. Dodatkowo, sprawdź czy Centrum zabezpieczeń ma Typ uruchomienia Automatycznie (opóźnione uruchomienie), gdyż to mogło się zmienić (infekcja cały czas działała). Zresetuj system.

 

3. Przez Panel sterowania odinstaluj Complitly oraz Bing Bar (on Ci go naruszył w systemie pierwszym skryptem).

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner.

 

 

 

.

[Pomocyy]

AdwCleaner - http://wklej.org/id/1036140/

OTL - http://wklej.org/id/1036148/

 

I log z usuwania OTL - http://wklej.org/id/1036144/

 

Co do centrum zabezpieczeń i zapory w usługach już jest okej, ustawiłem tak jak kazałeś i po resecie windowsa w usługach jest kolejno na automatyczny z opóźnieniem i automatyczny.

Jednak zapora nadal po włączeniu systemu jest wyłączona i musze sam ją włączyć.

[picasso]

Zadania pomyślnie wykonane. Zakończ sprawy w poprawny sposób:

1. Drobna poprawka na domyślne wyszukiwarki IE nadpisane AdwCleaner. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

3. Na wszelki wypadek zrób jeszcze pełny skan posiadanym MBAM. Jeśli nic nie wykryje, przejdź do:

4. Wyczyść foldery Przywracania systemu: KLIK.

5. W Dzienniku zdarzeń masz błąd WMI numer 10. Napraw narzędziem Fix-it: KLIK.

6. Odinstaluj starą Java i Adobe Reader, zastąp najnowszymi: KLIK. Wg raportu są zainstalowane stare wersje:

========== HKEY_LOCAL_MACHINE Uninstall List ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417017FF}" = Java 7 Update 17 (64-bit)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish

 

Co do centrum zabezpieczeń i zapory w usługach już jest okej, ustawiłem tak jak kazałeś i po resecie windowsa w usługach jest kolejno na automatyczny z opóźnieniem i automatyczny.

Jednak zapora nadal po włączeniu systemu jest wyłączona i musze sam ją włączyć.

 
Ad "kazałeś" = jestem kobietą. W kwestii Zapory, to może tu być nałożenie dwóch spraw (infekcja + program zewnętrzny). Infekcja już usunięta. Za to w tle działa AVG 2013, który po bliższym przyjrzeniu się wygląda na komercyjny wariant, wersja z firewallem, bo są usługi / sterowniki realizujące to zadanie:

========== Services (SafeList) ==========

SRV - [2012-12-10 11:11:44 | 001,342,024 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto | Running] -- C:\Program Files (x86)\AVG\AVG2013\avgfws.exe -- (avgfws)
SRV - [2012-11-15 23:34:30 | 005,814,904 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto | Running] -- C:\Program Files (x86)\AVG\AVG2013\avgidsagent.exe -- (AVGIDSAgent)
SRV - [2012-10-22 13:05:08 | 000,196,664 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto | Running] -- C:\Program Files (x86)\AVG\AVG2013\avgwdsvc.exe -- (avgwd)

========== Driver Services (SafeList) ==========

DRV:64bit: - [2012-10-22 13:02:44 | 000,154,464 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avgidsdrivera.sys -- (AVGIDSDriver)
DRV:64bit: - [2012-10-15 03:48:50 | 000,063,328 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\avgidsha.sys -- (AVGIDSHA)
DRV:64bit: - [2012-10-02 03:30:38 | 000,185,696 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avgldx64.sys -- (Avgldx64)
DRV:64bit: - [2012-09-21 03:46:04 | 000,200,032 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avgtdia.sys -- (Avgtdia)
DRV:64bit: - [2012-09-21 03:46:00 | 000,225,120 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\avgloga.sys -- (Avgloga)
DRV:64bit: - [2012-09-14 03:05:18 | 000,040,800 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | Boot | Running] -- C:\Windows\SysNative\drivers\avgrkx64.sys -- (Avgrkx64)
DRV:64bit: - [2012-09-04 10:39:32 | 000,050,296 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avgfwd6a.sys -- (Avgfwfd)

Firewalle zewnętrzne mają planowaną deaktywację wbudowanej w system Zapory. Jest to normalne, bo dwie działające Zapory to za dużo.



.

[Pomocyy]

5. W Dzienniku zdarzeń masz błąd WMI numer 10. Napraw narzędziem Fix-it: KLIK.

 

Pobrałem to, uruchomiłem i nie wiem czy coś zrobiło, wyskoczyło na koniec coś takiego : http://www.iv.pl/images/65183746269005777973.png

 

 

6. Odinstaluj starą Java i Adobe Reader, zastąp najnowszymi: KLIK. Wg raportu są zainstalowane stare wersje.

 

Adobe dałem rade, ale Javy za cholere nie wiem które pobrać... 

 

 

Ad "kazałeś" = jestem kobietą.

 

Przepraszam bardzo ;/

 

 

Za to w tle działa AVG 2013, który po bliższym przyjrzeniu się wygląda na komercyjny wariant, wersja z firewallem, bo są usługi / sterowniki realizujące to zadanie

Firewalle zewnętrzne mają planowaną deaktywację wbudowanej w system Zapory. Jest to normalne, bo dwie działające Zapory to za dużo.

 

To znaczy ? Mam usunąć AVG ? 

 

 

 

.

[picasso]

Pobrałem to, uruchomiłem i nie wiem czy coś zrobiło, wyskoczyło na koniec coś takiego

 

I OK. Od momentu uruchomienia tego w Dzienniku zdarzeń w sekcji Aplikacje powinny ustąpić błędy WMI numer 10.

 

 

Adobe dałem rade, ale Javy za cholere nie wiem które pobrać...

 

W systemie była zainstalowana wersja natywnie 64-bitowa, czyli działająca tylko w 64-bitowych przeglądarkach. Twoją przeglądarką jest 64-bitowa Opera. Wnioski: pobierasz Java x64. O ile w ogóle potrzebna.

 

 

To znaczy ? Mam usunąć AVG ?

 

To znaczy: nic nie robić, jeśli w systemie ma działać AVG. Nie da się tego pogodzić, teraz chyba wszystkie programy zabezpieczające posiadające zaporę ubijają tę w systemie. Albo albo:

- Jedziesz na łysej Zaporze wbudowanej w system + brak firewalla zewnętrznego (wtedy należałoby zamienić AVG na wersję darmową bez zapory).

- Jedziesz na pełnym pakiecie AVG z firewallem, a Zapora systemowa wyłączona.

 

 

 

.

[Pomocyy]

To znaczy: nic nie robić, jeśli w systemie ma działać AVG. Nie da się tego pogodzić, teraz chyba wszystkie programy zabezpieczające posiadające zaporę ubijają tę w systemie. Albo albo:

- Jedziesz na łysej Zaporze wbudowanej w system + brak firewalla zewnętrznego (wtedy należałoby zamienić AVG na wersję darmową bez zapory).

- Jedziesz na pełnym pakiecie AVG z firewallem, a Zapora systemowa wyłączona.

 

Czyli jak mam AVG z zaporą ( tak jak teraz ), to zapora od windowsa jest zbędna tak ?

 

W systemie była zainstalowana wersja natywnie 64-bitowa, czyli działająca tylko w 64-bitowych przeglądarkach. Twoją przeglądarką jest 64-bitowa Opera. Wnioski: pobierasz Java x64. O ile w ogóle potrzebna.

 

Dobra pobrałem, wypakowałem i co dalej xD ? Nie widze tutaj żadnej instalki... ?

[picasso]

Czyli jak mam AVG z zaporą ( tak jak teraz ), to zapora od windowsa jest zbędna tak ?

 

Tak, dwie softwarowe zapory działające w tle to potencjalny konflikt, nie bez przyczyny programy zewnętrzne instalując własną zaporę forsują deaktywację systemowej. Dwie zapory są sensowne, jeśli jedna z nich jest poziomu sprzętowego, bo działa to w inny sposób.

 

 

Dobra pobrałem, wypakowałem i co dalej xD ? Nie widze tutaj żadnej instalki... ?

 

Co Ty właściwie pobrałeś, jaki plik? Na stronie którą podaję: Java SE 7u21 > Klik w JRE Download > zaznacz Accept > pobierasz plik:

 

Windows x64 31.59 MB   jre-7u21-windows-x64.exe

 

 

 

.

[Pomocyy]

Co Ty właściwie pobrałeś, jaki plik? Na stronie którą podaję: Java SE 7u21 > Klik w JRE Download > zaznacz Accept > pobierasz plik:

 

Windows x64 31.59 MB   jre-7u21-windows-x64.exe

 

Dobra mam, zainstalowałem, dzięki

 

Tak, dwie softwarowe zapory działające w tle to potencjalny konflikt, nie bez przyczyny programy zewnętrzne instalując własną zaporę forsują deaktywację systemowej. Dwie zapory są sensowne, jeśli jedna z nich jest poziomu sprzętowego, bo działa to w inny sposób.

 

Czyli ostatecznie : Z zaporą systemową nic nie robić ? Zostawić jak jest i działa mi ta od AVG ta ?

 

 

I jeszcze co do wirusa - został usunięty tak ?

[picasso]

Czyli ostatecznie : Z zaporą systemową nic nie robić ? Zostawić jak jest i działa mi ta od AVG ta ?

 

Tak. W tle są procesy firewalla AVG. A status i konfigurację zapory AVG po prostu obejrzyj w opcjach AVG. Jeśli kiedyś ten AVG odinstalujesz, przy deinstalacji powinien odkręcić sprawę i przywrócić czynną Zaporę systemową.

 

 

 

.

[Pomocyy]

Okej, dziękuje bardzo za pomoc. 

GZ 22000 postów : D

Jesteś wielka ! : ))