G4wliK Opublikowano 26 Czerwca 2015 Zgłoś Udostępnij Opublikowano 26 Czerwca 2015 Witam, zauważyłem dzisiaj, że na pulpicie skrót do AVG stał się biały i po jego kliknięciu nie było żadnej akcji. Po próbie odpalenia programu bezpośrednio z pliku pojawił się komunikat o braku dostępu. Postanowiłem go odinstalować, przez panel sterowania, ale Windows wykrzyczał, że nie mam wystarczających uprawnień, ale tyczyło się to tylko AVG, bo inne programy mogłem odinstalować bez przeszkód. Tu już zacząłem się niepokoić. Upewniłem się, czy jakimś magicznym sposobem ktoś z użytkowników komputera nie zmienił uprawnień do folderu z AVG, ale te były bez zmian. Usunąłem zawartość folderu Unlockerem i przeczyściłem wszystko CCleanerem, ale przy próbie ponownej instalacji AVG wyskakiwał błąd (niestety nie zapisałem jego treści). Po tym spróbowałem włączyć Malwarebytes lecz program kompletnie nie odpowiada. Kolejnym krokiem było zainstalowanie Avasta, zainstalował się pomyślnie, ale przy próbie wykonania skanu wywala taki oto komunikat: "Nie można uruchomić procesu skanowania. Nie ma więcej dostępnych punktów końcowych z programu mapowania punktów końcowych." Nie mam podejrzeń co do możliwych okoliczności załapania jakiegoś dziadostwa, bo z tego komputera korzystam tylko w weekend po powrocie ze stancji. Na co dzień korzystają z niego mi rodzice. Dzisiaj po powrocie pobierałem tylko samo dokumenty, jpg i pdfy do sesji. BTW. Dużo podobnych tematów ostatnio. Co to za plaga? Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2015 Zgłoś Udostępnij Opublikowano 26 Czerwca 2015 Tak, ta sama infekcja co w przypadku reszty świeżych tematów, czyli usługa udająca inną usługę systemową związaną z cieniowaniem woluminów. U Ciebie jest dodatkowo jeszcze drugi element w Autostarcie (obzkjrtpvf.exe). Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: R2 VSSS; C:\Users\Anna\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [104008064 2015-06-23] (Microsoft Corporation) [File not signed] R4 AVGIDSHA; system32\DRIVERS\avgidsha.sys [X] R4 Avgrkx64; system32\DRIVERS\avgrkx64.sys [X] R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] Startup: C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\g.lnk [2015-06-14] ShortcutTarget: g.lnk -> C:\Users\Anna\AppData\Roaming\obzkjrtpvf.exe () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 Task: {63CF779D-5D23-483E-9D16-C19D4F011195} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - Anna) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: C:\Windows\Tasks\SlimCleaner Plus (Scheduled Scan - Anna).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe C:\Program Files\Common Files\AV C:\ProgramData\AVG2015 C:\Users\Anna\AppData\Local\Avg C:\Users\Anna\AppData\Local\Avg2015 C:\Users\Anna\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Users\Default\AppData\Roaming\TuneUp Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Nadal siedząc w Trybie awaryjnym zastosuj AVG Remover. 3. Opuść Tryb awaryjny. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt. Odnośnik do komentarza
G4wliK Opublikowano 26 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2015 Wszystko zrobione, dzięki za szybką reakcje. Jakieś dodatkowe skutki oprócz blokady programów antymalware wywołuje/wywołało to dziadostwo? Fixlog.txt FRST.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2015 Zgłoś Udostępnij Opublikowano 26 Czerwca 2015 Wszystko zostało pomyślnie usunięte. Działania końcowe: 1. Zastosuj DelFix (GMER dokasuj ręcznie), następnie wyczyść foldery Przywracania systemu: KLIK. 2. W związku z tym, że nie wiem co ta infekcja ma konkretnie na celu, poza ewentualnym doładowaniem innych form malware, na wszelki wypadek pozmieniaj wszystkie ważne loginy (bank, poczta, etc.) Odnośnik do komentarza
G4wliK Opublikowano 26 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2015 Wielkie dzięki za pomoc. Programy antymalware zdają się działać normalnie. Jestem pod wrażeniem tempa i jakości pomocy, świetna robota. Jeszcze raz pięknie dziękuje . Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi