Yogi Opublikowano 15 Marca 2014 Zgłoś Udostępnij Opublikowano 15 Marca 2014 Witam Problem, wygląda następująco wkradła mi się wirus, nie mogę zainstalować kompletnie niczego.Poczytałem trochę u was na forum i zrobiłem skan tymi trzema wymaganymi programami, z tym, że z Gmera nie mogę znaleźć pliku tekstowego. Prosiłbym o pomoc. Pozdrawiam OTL.Txt FRST.txt Addition.txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 15 Marca 2014 Zgłoś Udostępnij Opublikowano 15 Marca 2014 Temat założony w złym dziale, przenoszę do działu diagnostyki infekcji. Do uzupełniania tematu, gdy nikt jeszcze nie odpisał, służy opcja Edytuj (posty sklejam). Log z FRST niekompletny (brak pliku Shortcut). Log z GMER nie jest automatycznie zapisywany na dysku, instrukcja wyraźnie przecież mówi o jego ręcznym skopiowaniu o Notatnika. W systemie są ślady kilku infekcji, w tym MSIL/Injector.CPM był już wstępnie czymś usuwany, bo infekcja nie ma czynnych procesów. Antywirusy nie działają, gdyż jest nałożony Debugger na te programy. Ponadto, widzę ślady użycia narzędzia DelFix - dlaczego, skoro to narzędzie nie ma związku z usuwaniem infekcji, ani nawet antywirusów i wg opisu na forum nie powinno być usuwane przed zadaniem tego przy kończeniu tematu. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] - [X] HKLM\...\Policies\Explorer\Run: [16398] - C:\ProgramData\Local Settings\Temp\msqcbduw.com [77112 2009-07-14] ( (Microsoft Corporation)) HKU\S-1-5-21-3420556559-1411029670-803472814-1000\...\Run: [ALLUpdate] - "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-3420556559-1411029670-803472814-1000\...\Run: [Microsoft Update Software] - C:\Users\Yogi\AppData\Local\Temp\dll32.exe HKU\S-1-5-21-3420556559-1411029670-803472814-1000\...\Policies\Explorer\Run: [FLT] - C:\Users\Yogi\AppData\Roaming\236420.exe [1169224 2013-08-29] (Microsoft Corporation) HKU\S-1-5-21-3420556559-1411029670-803472814-1000\...\Policies\Explorer: [NoWindowsUpdate] 1 HKU\S-1-5-21-3420556559-1411029670-803472814-1000\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-21-3420556559-1411029670-803472814-1000\...\Winlogon: [shell] explorer.exe,"C:\Windows\SysWOW64\Application Services\appsvc.exe" [2497024 2014-03-12] (e8nHYo9lNH) IFEO\AvastSvc.exe: [Debugger] nqij.exe IFEO\AvastUI.exe: [Debugger] nqij.exe IFEO\avcenter.exe: [Debugger] nqij.exe IFEO\avconfig.exe: [Debugger] nqij.exe IFEO\avgcsrvx.exe: [Debugger] nqij.exe IFEO\avgidsagent.exe: [Debugger] nqij.exe IFEO\avgnt.exe: [Debugger] nqij.exe IFEO\avgrsx.exe: [Debugger] nqij.exe IFEO\avguard.exe: [Debugger] nqij.exe IFEO\avgui.exe: [Debugger] nqij.exe IFEO\avgwdsvc.exe: [Debugger] nqij.exe IFEO\avp.exe: [Debugger] nqij.exe IFEO\avscan.exe: [Debugger] nqij.exe IFEO\bdagent.exe: [Debugger] nqij.exe IFEO\blindman.exe: [Debugger] nqij.exe IFEO\ccuac.exe: [Debugger] nqij.exe IFEO\ComboFix.exe: [Debugger] nqij.exe IFEO\egui.exe: [Debugger] nqij.exe IFEO\hijackthis.exe: [Debugger] nqij.exe IFEO\instup.exe: [Debugger] nqij.exe IFEO\keyscrambler.exe: [Debugger] nqij.exe IFEO\mbam.exe: [Debugger] nqij.exe IFEO\mbamgui.exe: [Debugger] nqij.exe IFEO\mbampt.exe: [Debugger] nqij.exe IFEO\mbamscheduler.exe: [Debugger] nqij.exe IFEO\mbamservice.exe: [Debugger] nqij.exe IFEO\MpCmdRun.exe: [Debugger] nqij.exe IFEO\MSASCui.exe: [Debugger] nqij.exe IFEO\MsMpEng.exe: [Debugger] nqij.exe IFEO\msseces.exe: [Debugger] nqij.exe IFEO\rstrui.exe: [Debugger] nqij.exe IFEO\SDFiles.exe: [Debugger] nqij.exe IFEO\SDMain.exe: [Debugger] nqij.exe IFEO\SDWinSec.exe: [Debugger] nqij.exe IFEO\spybotsd.exe: [Debugger] nqij.exe IFEO\wireshark.exe: [Debugger] nqij.exe IFEO\zlclient.exe: [Debugger] nqij.exe Task: {5D592AB2-BFAF-4FFC-AD8A-BD2887A7E5DE} - \Scheduled Update for Ask Toolbar No Task File URLSearchHook: HKCU - SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch64.dll No File URLSearchHook: HKCU - SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll No File BHO-x32: YouTube To ALLPlayer - {61DB16C5-B733-43F4-872E-B20DC9E72740} - C:\PROGRA~2\ALLPLA~1\YOUTUB~1.DLL No File CHR HKLM-x32\...\Chrome\Extension: [aaaaoggiphohkihibdkcnhnokmkfmhnj] - C:\Users\Yogi\AppData\Local\APN\GoogleCRXs\aaaaoggiphohkihibdkcnhnokmkfmhnj_7.15.2.0.crx [2013-06-24] R4 AVGIDSDriver; system32\DRIVERS\avgidsdrivera.sys [X] R4 AVGIDSHA; system32\DRIVERS\avgidsha.sys [X] R4 Avgloga; system32\DRIVERS\avgloga.sys [X] R4 Avgrkx64; system32\DRIVERS\avgrkx64.sys [X] R4 Avgtdia; system32\DRIVERS\avgtdia.sys [X] C:\Program Files (x86)\ESET C:\ProgramData\AVAST Software C:\ProgramData\AVG2014 C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\Local Settings C:\ProgramData\MFAData C:\Users\Yogi\AppData\Local\APN C:\Users\Yogi\AppData\Local\Avg2014 C:\Users\Yogi\AppData\Local\MFAData C:\Users\Yogi\AppData\Roaming\*.exe C:\Users\Yogi\AppData\Roaming\msconfig.ini C:\Users\Yogi\AppData\Roaming\2088719030 C:\Users\Yogi\AppData\Roaming\8C50400E C:\Users\Yogi\AppData\Roaming\AVG C:\Users\Yogi\AppData\Roaming\dsafdasfwfwea C:\Users\Yogi\AppData\Roaming\ESET C:\Users\Yogi\AppData\Roaming\gwregsrffewgttzfdxadhds C:\Users\Yogi\AppData\Roaming\MKKE C:\Users\Yogi\AppData\Roaming\TuneUp Software C:\Windows\SysWOW64\Application Services Reg: reg delete "HKCU\Software\Microsoft\Windows Script" /f Reg: reg delete "HKCU\Software\Microsoft\Windows Script Host" /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST, nie zaznaczaj pola Addition, ale Shortcut tak, by powstały dwa raporty. Dołącz plik fixlog.txt. . Odnośnik do komentarza
Yogi Opublikowano 15 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2014 Hej Dzięki o to logi tylko z tego FRST. Antywiurusa nadał wywala pod koniec instalacji.Swoją drogą możesz mi jakiegoś polecić? Pozdrawiam Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 15 Marca 2014 Zgłoś Udostępnij Opublikowano 15 Marca 2014 Yopgi prosiłam wyraźnie o nastyępujący zestaw logów: 2. Zrób nowy log FRST, nie zaznaczaj pola Addition, ale Shortcut tak, by powstały dwa raporty. Dołącz plik fixlog.txt. Dałeś Addition (nie prosiłam), a miał być zaległy Shortcut. I brak pliku fixlog.txt. Nie uruchamiaj skryptu do FRST ponownie, plik fixlog.txt jest już na dysku. Antywiurusa nadał wywala pod koniec instalacji. Jakiego antywirusa i w jaki sposób to się objawia? . Odnośnik do komentarza
Yogi Opublikowano 15 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2014 360 internet sacurity, noda również wywala na koncu Bardzo prosiłbym o pomoc. Pozdrawiam EDIT: Udało mi się zainstalować AVG 2014,nadal nie mogę zaistalować w.w programów...(wywala instalacje na końcu) Odpala również ComboFix. Nie wiem co robić dalej, dlatego też prosiłbym o pomoc, gdyż samemu mogę coś spieprzyć Pozdrawiam Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 15 Marca 2014 Zgłoś Udostępnij Opublikowano 15 Marca 2014 Nie podałeś jaki błąd się pojawia przy próbie instalacji, czyli co to znaczy "wywala na końcu". I kieruję ponownie do instrukcji robienia raportu z FRST: KLIK. Przecież cały czas robisz logi niezgodnie z tym o co proszę: - Sekcje Drivers MD5 i List BCD nie mają być zaznaczone (jest to wyraźnie w instrukcji zaznaczone). - Logi dodatkowe: zaznaczone pole Shortcut (cały czas proszę o ten log i nie został on podany). A w związku z tym, że zmieniłeś układ i zainstalowałeś w międzyczasie AVG, pole Addition także ma być zaznaczone. W sumie mają być podane trzy logi z FRST. Dodatkowo, podany tu plik fixlog.txt wykazuje, że uruchomiłeś skrypt do FRST dwa razy (żaden z wpisów nie został znaleziony), a to nie powinno mieć miejsca i nie ma sensu, bo skrypty są jednorazowe (mówią o tym zasady działu). Proszę wejść do katalogu C:\FRST\Logs (archiwum logów) i wyciągnąć z niego pierwszy z serii, czyli najstarszy raport fixlog_data_czas.txt i go przedstawić. . Odnośnik do komentarza
Yogi Opublikowano 15 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2014 Najmocniej przepraszam, ale jestem świeży w tym temacie i stąd tego typu błędy. Fixlog_15-03-2014_14-12-02.txt Odnośnik do komentarza
picasso Opublikowano 15 Marca 2014 Zgłoś Udostępnij Opublikowano 15 Marca 2014 Yogi, właściwy plik fixlog.txt podany, ale nie zrobiłeś mi nowych logów z FRST (mają powstać trzy: FRST.txt, Addition.txt oraz Shortcut.txt). Kierowałam Cię do instrukcji ich robienia. I nadal nie udzieliłeś odpowiedzi jaki błąd widzisz podczas próby instalacji programów. . Odnośnik do komentarza
Yogi Opublikowano 15 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2014 Okey wrzucam logi FRST z zaznaczonymi Shortcutem i Additionem. Co do błędu nie wyskakuje nic konkretnego tylko informacja w stylu "błąd przy instalacji" w zależności od programu ( nie chcę instalować, żeby już nie mieszać) Pragnę nadmienić, iż avg nic nie wykryło przy skanowaniu. Pozdrawiam Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Yogi Opublikowano 16 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 16 Marca 2014 Witam Chciałbym zainstalować innym program, co zmieni logi i pani prace, prosiłbym więc o pomoc. Pozdrawiam Jeśli chodzi o instalacje esetnoda ... błąd podczas tworzenia katalogu Odnośnik do komentarza
picasso Opublikowano 17 Marca 2014 Zgłoś Udostępnij Opublikowano 17 Marca 2014 Yogi, proszę nie pisz nowych postów o tym samym. Przetwarzam tematy zgodnie z moimi możliwościami czasowymi, a temat wymaga czasu na analizę. Nie próbuj instalować innych antywirusów, obecnie jest to bez sensu. Te błędy są pewnie skutkiem infekcji, tzn. gdzieś są zresetowane uprawnienia. I ja potrzebuję czasu na przemyślenie koncepcji diagnostyki usterki. Bez sensu było również użycie ComboFix w trakcie diagnostyki już tu prowadzonej, czego nie podawałam. Na temat używania ComboFix: KLIK. Tylko wymęczony system. Proszę cierpliwie czekaj. Nie odpowiadaj mi tu na razie. Ja zedytuję post, gdy będę w stanie zająć się tematem. . Odnośnik do komentarza
Yogi Opublikowano 22 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2014 Witam Przepraszam, że piszę post, ale czekam na pomoc już jakiś czas i nie wiem co dalej robić. Potrzebuję sprawny komputer do pracy, a tak nie wiem czym podpiąć pendragon i przenieść dokument na łapka? czy wysłać do klienta formularz, czy może coś się dogra? Nie mogę czekać, aż tak długo stąd moje pytania. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2014 Potrzebuję sprawny komputer do pracy, a tak nie wiem czym podpiąć pendragon i przenieść dokument na łapka? czy wysłać do klienta formularz, czy może coś się dogra? Infekcja została usunięta, a nie była to infekcja, która transportuje się via przenośne urządzenia czy "doczepia" coś. Obecnie problemem są skutki uboczne po infekcji, czyli brak uprawnień: Jeśli chodzi o instalacje esetnoda ... błąd podczas tworzenia katalogu W Dzienniku zdarzeń jest następujący zestaw błędów: Error: (03/15/2014 04:59:31 PM) (Source: MsiInstaller) (User: Yogi-Komputer) Description: Product: ESET Smart Security -- Błąd 1303. Instalator nie ma wystarczających uprawnień dostępu do tego katalogu: C:\ProgramData\ESET\ESET Smart Security. Nie można kontynuować instalacji. Zaloguj się jako administrator lub skontaktuj się z administratorem systemu. Error: (03/15/2014 02:50:46 PM) (Source: MsiInstaller) (User: Yogi-Komputer) Description: Product: ESET NOD32 Antivirus -- Błąd 1317. Błąd podczas próby utworzenia katalogu: C:\ProgramData\ESET\ESET NOD32 Antivirus Czyli conajmniej jeden z folderów w C:\ProgramData ma zresetowane uprawnienia. Błędy tyczą ESET, ale zgłaszałeś też problem z 360 Internet Security, który być może także ma gdzieś elementy na dysku. 1. Uruchom GrantPerms x64 i w oknie wklej ścieżki problematycznych programów z C:\ProgramData i C:\Program Files. Podaję ścieżki wyglądające na istniejące, ale log jest ograniczony, więc uzupełnij listę ręcznie, jeśli w w/w katalogach widzisz więcej folderów związanych z tymi programami. C:\ProgramData\ESET C:\ProgramData\ESET\ESET Smart Security C:\Program Files\360 Klik w Unlock. 2. Wejdź do C:\ProgramData i C:\Program Files i przez SHIFT+DEL (omija Kosz) spróbuj usunąć wszystkie szczątki ESET i 360 Internet Security. . Odnośnik do komentarza
Yogi Opublikowano 11 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2014 Witam Przepraszam ale odpowiedź przeczytałem dzisiaj i tutaj pojawiają się schody:/ nie mogę usunąć folderu eset. Wyskakuję komunikat : "nie masz uprawnień do wykonania tej akcji, uzyskaj uprawnienia administratora w celu wprowadzania zmian w tym folderze" Problem w tym, że mam jedno konto jako administrator sprawdzałem w ustawieniach konta, próbowałem też zmienić ustawienia na "pełną kontrole" ale nic to nie przyniosło. Pozdrawiam Upierdliwiec Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2014 Nie sugeruj się kontem, to nie jego typ jest problemem tylko szkody po infekcji (infekcja zablokowała folder). Skoro nie możesz go usunąć, nie został w całości odblokowany za pomocą GrantPerms. Jeśli w tym folderze są jakieś pod-składniki (podfoldery oraz pliki), wszystkie ścieżki należy odblokować. Pokaż co jest składową tego folderu. Otwórz Notatnik i wklej w nim: Folder: C:\ProgramData\ESET Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
Yogi Opublikowano 13 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2014 Witam Chyba zrobiłem to co trzeba. Pozdrawiam Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2014 Do GrantPerms wklej: C:\ProgramData\ESET C:\ProgramData\ESET\ESET NOD32 Antivirus Po odblokowaniu spróbuj usunąć folder C:\ProgramData\ESET. . Odnośnik do komentarza
Yogi Opublikowano 13 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2014 Witam Mogę wejść folder niżej tj. C:\ProgramData\ESET\ESET NOD32 Antivirus dalej nie da rady, co prawda usunąłem pliki ale podfoldery znowu nie chcą zniknąć;/ Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2014 Na pewno po wklejeniu obu ścieżek do GrantPerms wykorzystałeś opcję Unlock? Skoro nadal jest problem, to spróbuj ręcznie: 1. Prawoklik na folder C:\ProgramData\ESET > Właściwości > Zabezpieczenia > Zaawansowane i tu akcja: - Karta Właściciel > klik w Edytuj > zaznacz na liście swoje konto oraz zaznacz opcję "Zamień właściciela dla podkontenerów i obiektów" > klik w Zastosuj. - Karta Uprawnienia > klik w Zmień uprawnienia > klik w Dodaj, wpisz nazwę swojego konta i przyznaj Pełną kontrolę > zaznacz "Zastąp wszystkie uprawnienia obiektów podrzędnych...." > klik w Zastosuj. 2. Ponów próbę usuwania folderu C:\ProgramData\ESET. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się