Mysza Opublikowano 11 Czerwca 2011 Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 (edytowane) Witam, dzisiaj ArcaVir wyrzucił komunikat o znalezieniu Trojan.Spy.Zbot.Gen, a jedyna dostępna opcja, którą w tym momencie można wykonać to Blokuj dostęp komuniakt ArcaVir pojawia się wielokrotnie w ciągu dnia, dołączam logi z OTL i wstępny z Gmer, z pełnym Gmerem mam problem, dwa razy mi się zatrzymał i dalej ani rusz, raz w trakcie pojawił się niebieski ekran , w międzyczasie jak podłączyłam aparat fotograficzny to pojawiło się to : potem uruchomiłam Gmer w trybie awaryjnym , ale po dość długim scanowaniu znowu skończyło się niebieskim ekranem co z tym zrobić ? EDIT: Przeskanowałam komputer jeszcze ESET Online Scanner, który też wykrył jeden zainfekowany plik i niby wyleczył przez usunięcie, ale po restarcie komputera antywirus ArcaVir dalej wyrzuca ten sam komunikat Edytowane 11 Czerwca 2011 przez mycha69 Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2011 Zgłoś Udostępnij Opublikowano 12 Czerwca 2011 Nie widzę żadnych oznak infekcji w stanie czynnym, zaś wynik z ESET kieruje na izolowany folder Przywracania systemu (trudno powiedzieć jak wyglądał oryginalny plik przed stworzeniem jego kopii w Przywracaniu). Dla kosmetyki przeglądarek usuń pozostałości po śmieciach paskowych. W OTL w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" O3 - HKU\S-1-5-21-1644491937-1614895754-682003330-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. Klik w Wykonaj skrypt. Po tym klik w Sprzątanie. Koniec. ArcaVir wyrzucił komunikat o znalezieniu Trojan.Spy.Zbot.Gen, a jedyna dostępna opcja, którą w tym momencie można wykonać to Blokuj dostęp Moim zdaniem wynik ArcaVir to fałszywy alarm. ArcaVir czepia się wnętrza pliku uphclean.exe (User Profile Hive CleanUp Service): SRV - [2010-09-13 20:02:44 | 000,399,872 | ---- | M] () [Auto | Running] -- C:\Program Files\UPHClean\uphclean.exe -- (UPHClean) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{7D15B945-2725-4443-AB3F-D900556612FE}" = User Profile Hive Cleanup Service Aczkolwiek ... plik nie ma sygnatury Microsoftu i nie wiem pod co to podciągnąć. Na mojej testowej maszynie plik jest znakowany firmowo: SRV - [2010/09/13 20:02:44 | 000,399,872 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Auto | Running] -- C:\Program Files\UPHClean\uphclean.exe -- (UPHClean) Ostatecznie możesz przeinstalować User Profile Hive Cleanup Service KLIK, ale jeśli po reinstalacji z paczki pobranej na stronie MS nadal ArcaVir będzie się rzucał, należy założyć, że po prostu tak ma być i nic z tym nie kombinować, zaś plik dodać do wyjątków w skanerze. potem uruchomiłam Gmer w trybie awaryjnym , ale po dość długim scanowaniu znowu skończyło się niebieskim ekranem GMER tu miał trudności (KLIK). W skanie GMER oraz OTL widać, że działa sterownik SPTD: DRV - [2010-11-21 03:05:02 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) . Odnośnik do komentarza
Mysza Opublikowano 12 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2011 Dziękuję, skrypt i sprzątanie wykonane. Po wyczyszczeniu punktu przywracania systemu i ponownym użyciu scanera ESET już nie wykrył zagrożeń, ale ArcaVir dalej się czepia. Ostatecznie możesz przeinstalować User Profile Hive Cleanup Service KLIK, ale jeśli po reinstalacji z paczki pobranej na stronie MS nadal ArcaVir będzie się rzucał, należy założyć, że po prostu tak ma być i nic z tym nie kombinować, zaś plik dodać do wyjątków w skanerze. Zastanawiam się, dlaczego dopiero teraz jest jakiś problem, skoro UPHCleanup mam już od dłuższego czasu i wcześniej antywirus nie miał zastrzeżeń. Jak mnie pamięc nie myli, to UPHCleanup ściągałam sama jako lekarstwo na czasami zawieszanie się komputera przy zamykaniu systemu, ale teraz nie mogę ani narzędzia usunąć, ani naprawić - jest jakiś problem z uprawnieniami : natomiast przy próbie ręcznego usunięcia też jest odmowa dostępu GMER tu miał trudności (KLIK). W skanie GMER oraz OTL widać, że działa emulacja sterownika SPTD rzeczywiście, nie pomyślałam, że mam takie oprogramowanie (miałam Acitive Iso Burner) , bo już wcześniej uruchamiałam Gmer bez problemu, a wyłączyłam tylko antywirusa - przy czasie spróbuje ponownie. Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2011 Zgłoś Udostępnij Opublikowano 12 Czerwca 2011 Jak mnie pamięc nie myli, to UPHCleanup ściągałam sama jako lekarstwo na czasami zawieszanie się komputera przy zamykaniu systemu Tak. To narzędzie do tego służy. Zastanawiam się, dlaczego dopiero teraz jest jakiś problem, skoro UPHCleanup mam już od dłuższego czasu i wcześniej antywirus nie miał zastrzeżeń. Bazy zagrożeń mogły się zaktualizować i przynieść ze sobą nowe definicje. ale teraz nie mogę ani narzędzia usunąć, ani naprawić - jest jakiś problem z uprawnieniami : (...) natomiast przy próbie ręcznego usunięcia też jest odmowa dostępu To ja się zastanawiam czy ten brak sygnatury to nie jest tylko kwestia specyficznego zablokowania pliku, dlatego brak poboru danych które być może są prawidłowe. Na temat samego zablokowania: czy przypadkiem ArcaVir nie blokuje dostępu (zgodnie z tym co zaproponował na alercie)? Spróbuj wyłączyć wszystkie osłony ArcaVir, by ten nie reagował na plik, i zweryfikuj czy to zmieni coś w kwestii deinstalacji. rzeczywiście, nie pomyślałam, że mam takie oprogramowanie (miałam Acitive Iso Burner) , bo już wcześniej uruchamiałam Gmer bez problemu, a wyłączyłam tylko antywirusa - przy czasie spróbuje ponownie. SPTD możesz więc całkowicie wyrzucić z systemu. Ten sterownik nie jest potrzebny do pracy właściwej Active ISO Burner. Instalując ten program należało ominąć instalację typu "Complete", by zapobiec montażowi SPTD. . Odnośnik do komentarza
Mysza Opublikowano 13 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 13 Czerwca 2011 To ja się zastanawiam czy ten brak sygnatury to nie jest tylko kwestia specyficznego zablokowania pliku, dlatego brak poboru danych które być może są prawidłowe. Na temat samego zablokowania: czy przypadkiem ArcaVir nie blokuje dostępu (zgodnie z tym co zaproponował na alercie)? Spróbuj wyłączyć wszystkie osłony ArcaVir, by ten nie reagował na plik, i zweryfikuj czy to zmieni coś w kwestii deinstalacji. Po wyłączeniu osłon ArcaVir aktualizacja UPHCleanup z podanego linku przebiegła bez problemu, ArcaVir mimo to nadal wyrzucał komunikat o wirusie, zgodnie z sugestią dodałam to narzędzie/plik jako wyjątek i teraz jest spokój. Gmer po usunięciu Acitive Iso Burner też przeszedł pomyślnie do końca, tylko raportu nie mam, bo gdzieś kliknęłam, zrobiła się klepsydra i nie miałam cierpliwości czekać, żeby móc zapisać wynik, więc zamknęłam system - temat tym samym też do zamknięcia. Dziękuję. Odnośnik do komentarza
Rekomendowane odpowiedzi