soob Opublikowano 28 Stycznia 2011 Zgłoś Udostępnij Opublikowano 28 Stycznia 2011 Witam. Pytałem już się na innym forum i zostałem odesłany tutaj więc liczę na pomoc! Otóż, mam taki głupi problem ponieważ, od wczoraj kiedy chcę wejść np w opcje "Otwórz plik" (np w Winampie, wordzie itp) to otwiera mi się okienko i kiedy klikam na "Komputer" to zawiesza się program i nie da się nic zrobić jak tylko go zrestartować (program nie PC). To samo jest z opcjami "zapisz" itp. Mam Win7, 64-bit Obrazek z moim problemem Log.txt Odnośnik do komentarza
Landuss Opublikowano 28 Stycznia 2011 Zgłoś Udostępnij Opublikowano 28 Stycznia 2011 Log z OTL robiony na nie takich ustawieniach jak sobie życzymy na tym forum, w dodatku zabrakło loga dodatkowego. Wszystkie opcje mają być ustawione na "Użyj filtrowania" i tego dopilnuj kolejnym razem. W tym logu wygląda, że tu jest rootkit: DRV - [2010-12-02 21:54:23 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\ilvqun.sys -- (cohdyqvh) Przechodzimy do usuwania tego i innych odpadków. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\SysWow64\drivers\ilvqun.sys :Services cohdyqvh :OTL IE - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.skip-search.com/?cfg=2-82-0-2C8NV" IE - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = "http://search.babylon.com/home?AF=14676" IE - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://utils.babylon.com/abt/index.php?url=" O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] File not found O4 - HKU\S-1-5-21-268685592-1164845389-3330084532-1000..\Run: [iSUSPM Startup] File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
soob Opublikowano 28 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 28 Stycznia 2011 Ok Zrobiłem tak jak trzeba Załączam log OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 29 Stycznia 2011 Zgłoś Udostępnij Opublikowano 29 Stycznia 2011 Pytanie do ciebie. Czy problem nadal występuje? Bo jeśli tak to będzie trzeba podjąć inne kroki a jeśli nie to przejdziemy do czynności końcowych. Odnośnik do komentarza
soob Opublikowano 29 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2011 Tak problem nadal występuje. Najdziwniejsze jest to, że wszystko chodzi normalnie tylko te okienka dialogowe (zapisz, otwórz itp) się przycinają Btw, Dzisiaj dopiero przeczytałem, że nie można używać ComboFix'a, a ja niestety użyłem, a poza tym nie mam loga do niego Odnośnik do komentarza
picasso Opublikowano 30 Stycznia 2011 Zgłoś Udostępnij Opublikowano 30 Stycznia 2011 kiedy chcę wejść np w opcje "Otwórz plik" (np w Winampie, wordzie itp) to otwiera mi się okienko i kiedy klikam na "Komputer" to zawiesza się program i nie da się nic zrobić jak tylko go zrestartować (program nie PC). To samo jest z opcjami "zapisz" itp. Sprawdź czy problemu nie generują dodatkowe rozszerzenia powłoki. Pobierz ShellExView w wersji x64. Po uruchomieniu programu kliknij w kolumnę "Company", by ułożyć razem wszystkie niedomyślne rozszerzenia (oznaczone na różowo). Wszystkie różowe zbiorowo zaznacz, z poziomu menu kontekstowego wyłącz i zresetuj komputer. Podaj wyniki. Odnośnik do komentarza
soob Opublikowano 30 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2011 Problem rozwiązany! Ciężko uwierzyć ale przyczyna była drukarka, bo kiedy ją odinstalowałem (miałem problemy z nią) i zainstalowałem od nowa to problem minął. Dziękuję serdecznie za pomoc. Dla pewności dodaje nowe logi z OTL'a. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2011 Zgłoś Udostępnij Opublikowano 31 Stycznia 2011 Przeprowadź końcowe kroki: 1. W OTL wywołaj opcję Sprzątanie. 2. W programie Autoruns usuń odpadki po ArcaVir (karty Drivers + Internet Explorer): DRV:64bit: - [2009-12-01 19:14:40 | 000,040,528 | ---- | M] (ArcaBit) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\abndis.sys -- (ABndisMP)DRV:64bit: - [2009-12-01 19:14:40 | 000,040,528 | ---- | M] (ArcaBit) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\abndis.sys -- (ABndis) O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not foundO9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found 3. Jest tu uszczerbek w dostawcach Winsock: O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000009 [] - File not found W pierwszej kolejności w ogóle pokaż do jakiego dostawcy się to odwołuje. Start > w polu szukania wklep regedit > wyeksportuj do wglądu klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5 Jeśli ocenię, że 000000000009 to jeden z wpisów natywnych, podam instrukcje jak to naprawić. Jeśli wpis pochodzi od dostawcy niedomyślnego i już usuniętego, do wykonania będą instrukcje przedstawione w spoilerze tego tematu: KLIK. Sugerując się obecnością pozycji "Bonjour" w spisie zainstalowanych programów jest możliwe, że to właśnie szczątki po jakiś nieprawidłowych operacjach usuwania tego. 4. Na samym końcu, gdy już powyższe kroki zostaną wykonane, wyczyść foldery Przywracania systemu: INSTRUKCJE. Tak nawiasem mówiąc, to malware w logu raczej nie miało charakterystyki "rootkit", nie na systemie 64-bitowym. Na x64 sterownik poziomu kernel pozbawiony certyfikatu nie może się uruchomić. Tu był status "Stopped". Problem rozwiązany! Ciężko uwierzyć ale przyczyna była drukarka, bo kiedy ją odinstalowałem (miałem problemy z nią) i zainstalowałem od nowa to problem minął. Z tego wynika, że potencjalne przyczyny to jedno z tych: - Wyszukiwanie urządzeń w oknie Mój komputer. - Drukarka dodała własne rozszerzenie do obszaru NameSpace. Coś na podobieństwo tego: KLIK. . Odnośnik do komentarza
soob Opublikowano 31 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2011 Zrobiłem Nie bardzo wiem jak użyć tego Autorunsa ale więc nie bd się w to bawił i 3 pkt tez nie bardzo rozumiem wiec daje screena z rejestru Dzieki za pomoc jeszcze raz! Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2011 Zgłoś Udostępnij Opublikowano 31 Stycznia 2011 Nie bardzo wiem jak użyć tego Autorunsa ale więc nie bd się w to bawił To jest bardzo proste. Wchodzisz do karty Drivers i kasujesz usługi o nazwach ABndisMP + ABndis Wchodzisz do karty Internet Explorer i tam szukasz wszystkich wpisów ArcaVir (z numerkiem {40525A66-DB98-480D-BCF9-7AF88C1AF438}) i kasujesz. i 3 pkt tez nie bardzo rozumiem wiec daje screena z rejestru Ten obrazek jest do kitu, nie pokazuje informacji o którą mi chodzi. Kliknij prawym na klucz NameSpace_Catalog5, z menu kontekstowego wybierz opcję Eksportu i zapisz to do pliku REG. Plik REG otwórz w Notatniku i przeklej z niego wszystko do posta. . Odnośnik do komentarza
soob Opublikowano 31 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2011 To z tymi Drivers zrobiłem ale w IE nie ma tych wpisów Nowy dokument tekstowy.txt Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2011 Zgłoś Udostępnij Opublikowano 31 Stycznia 2011 Podejrzenia się sprawdziły, ten numer 9 to poszkodowany dostawca Bonjour: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000009]"LibraryPath"="C:\\Program Files (x86)\\Bonjour\\mdnsNSP.dll""DisplayString"="mdnsNSP""ProviderId"=hex:e9,e6,00,b6,3b,55,19,4a,86,96,33,5e,5c,89,61,53"SupportedNameSpace"=dword:0000000c"Enabled"=dword:00000001"Version"=dword:00000001"StoresServiceClassInfo"=dword:00000001"ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000009]"LibraryPath"="C:\\Program Files\\Bonjour\\mdnsNSP.dll""DisplayString"="mdnsNSP""ProviderId"=hex:e9,e6,00,b6,3b,55,19,4a,86,96,33,5e,5c,89,61,53"SupportedNameSpace"=dword:0000000c"Enabled"=dword:00000001"Version"=dword:00000001"StoresServiceClassInfo"=dword:00000001"ProviderInfo"=hex: To z tymi Drivers zrobiłem ale w IE nie ma tych wpisów Hmm, powinno być w Autoruns, uwzględnia to miejsce (klucz Extensions) .... Obie akcje złączę w jednym imporcie rejestru. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000008 "Num_Catalog_Entries64"=dword:00000008 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000009] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000009] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{40525A66-DB98-480D-BCF9-7AF88C1AF438}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik wybierz opcję Importu i wskaż plik FIX.REG. 2. Zresetuj komputer. . Odnośnik do komentarza
soob Opublikowano 31 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2011 Gotowe Mam jeszcze jedno ostatnie pytanie niezwiązane z wirusami ale z PC Wczoraj ok godziny 19 wyłączyłem PC i włączyłem go dopiero ok 22 i nie miałem internetu i w ogóle jakieś głupie rzeczy były wszedłem żeby sprawdzić stan połączenia kliknąłem właściwości i w składnikach miałem włączone jakieś ABdnis Drive (patrz obrazek). Kiedy to wyłączyłem internet wrócił. Moje pytanie: Kto to mógł włączyć i co to jest? Ja na 100% tego nie włączałem bo i po co Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2011 Zgłoś Udostępnij Opublikowano 1 Lutego 2011 Wczoraj ok godziny 19 wyłączyłem PC i włączyłem go dopiero ok 22 i nie miałem internetu i w ogóle jakieś głupie rzeczy były wszedłem żeby sprawdzić stan połączenia kliknąłem właściwości i w składnikach miałem włączone jakieś ABdnis Drive (patrz obrazek). "ABdnis Drive" = spójrz co usuwałeś w Autoruns: ABndisMP + ABndis. To filtr ArcaVir nałożony na urządzenie sieciowe. Kiedy to wyłączyłem internet wrócił. Podświetl tę pozycję i odinstaluj. . Odnośnik do komentarza
soob Opublikowano 1 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2011 ok. zrobione Zastanawia mnie tylko kto to włączył Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2011 Zgłoś Udostępnij Opublikowano 1 Lutego 2011 Zastanawia mnie tylko kto to włączył Nie rozumiem pytania, bo to oczywistość. Ten filtr na urządzeniu pojawia jako skutek instalacji antywirusa ArcaVir. Filtr cały czas działał, pomimo że rzekomo antywirus się odinstalował w całości, bo został czynny sterownik ArcaVir w systemie. Nie notowałeś żadnych problemów z tym fantomem, dopóki nie ruszyłam sterownika ArcaVir. Jego usunięcie w Autoruns spowodowało naruszenie filtra, a w konsekwencji brak sieci urządzenia filtrowanego przez ten sterownik. Odnośnik do komentarza
soob Opublikowano 1 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2011 (edytowane) Nie rozumiem pytania, bo to oczywistość. Ten filtr na urządzeniu pojawia jako skutek instalacji antywirusa ArcaVir. Filtr cały czas działał, pomimo że rzekomo antywirus się odinstalował w całości, bo został czynny sterownik ArcaVir w systemie. Nie notowałeś żadnych problemów z tym fantomem, dopóki nie ruszyłam sterownika ArcaVir. Jego usunięcie w Autoruns spowodowało naruszenie filtra, a w konsekwencji brak sieci urządzenia filtrowanego przez ten sterownik. A teraz rozumiem Dziękuje jeszcze raz za wszystko!! Temat chyba do zamkniecia Edytowane 1 Lutego 2011 przez picasso Temat rozwiązany, zamykamy. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi