Usuwanie xp security 2012

[Pivko]

Witam.

Tak jak w temacie chciałbym prosić o pomoc w usunięciu tego czegoś co nie pozwala mi na korzystanie z internetu. Po otwarciu przeglądarki od razu wyskakuje komunikat aby zakupić licencje i nie mogę dalej nic już otworzyć. Poniżej zamieszczam logi i z góry dziękuję jeśli ktoś mi pomoże.

OTL txt : http://wklej.org/id/566881/

Extras txt : http://wklej.org/id/566882/

[picasso]

Nie wiem co sądzić o fragmentach GameCenter@Mail.Ru, bo np. PrevX się to nie podoba (KLIK).

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [VVSN]  File not found
O4 - HKU\S-1-5-21-1004336348-57989841-1417001333-1003..\Run: [4270472180] C:\Documents and Settings\Konrad\Ustawienia lokalne\Dane aplikacji\kvg.exe ()
O4 - Startup: C:\Documents and Settings\Konrad\Menu Start\Programy\Autostart\Rejestracja FIFA 09.lnk =  File not found
O33 - MountPoints2\{750bd43e-1296-11e0-b892-00138f0f9679}\Shell - "" = AutoRun
O33 - MountPoints2\{750bd43e-1296-11e0-b892-00138f0f9679}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tiuoPu.Exe
O35 - HKU\S-1-5-21-1004336348-57989841-1417001333-1003..exefile [open] -- "C:\Documents and Settings\Konrad\Ustawienia lokalne\Dane aplikacji\kvg.exe" -a "%1" %* ()
O37 - HKU\S-1-5-21-1004336348-57989841-1417001333-1003\...exe [@ = exefile] -- "C:\Documents and Settings\Konrad\Ustawienia lokalne\Dane aplikacji\kvg.exe" -a "%1" %* ()
[2011-07-25 10:13:14 | 000,017,412 | -HS- | C] () -- C:\Documents and Settings\Konrad\Ustawienia lokalne\Dane aplikacji\m7emi47fxs8m61r638r2pur4g876l0k075318wo18
[2011-07-25 10:13:14 | 000,017,412 | -HS- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\m7emi47fxs8m61r638r2pur4g876l0k075318wo18
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Po restarcie otworzy się log z wynikami usuwania.

 

2. Wszystko wskazuje na to, że nie został poprawnie odinstalowany ESET. Nie widzę na liście zainstalowanych ESET, ale w logu widać pracujące sterowniki ESET:

 

DRV - [2008-03-13 16:52:18 | 000,033,800 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)
DRV - [2008-03-13 16:43:42 | 000,040,456 | ---- | M] (ESET) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)

Dziennik zdarzeń notuje też powiązany błąd:

 

Error - 2011-07-19 10:34:18 | Computer Name = KONRAD-60CB6E50 | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   easdrv

Skorzystaj z narzędzia ESET Uninstaller. Narzędzie musi być uruchomione z poziomu Trybu awaryjnego Windows.

 

3. Wygeneruj nowe logi z OTL opcją Skanuj. Dołącz także log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

 

.

[Pivko]

log z wynikami usuwania: http://wklej.org/id/567135/

Co do "Poważnego błędu", proszę byśmy zajęli się nim później. (nie potrafię posługiwać się ESET Uinstaller -em)

Ale co do tego błędu to faktycznie coś z rozruchem bo przy wączaniu komputera muszę wciskać F1

Wygenerowane nowe logi: http://wklej.org/id/567143/

Nie wiem co sądzić o fragmentach GameCenter@Mail.Ru, bo np. PrevX się to nie podoba (KLIK).

Co jest nie tak z tymi fragmentami ?

[picasso]

Co do "Poważnego błędu", proszę byśmy zajęli się nim później. (nie potrafię posługiwać się ESET Uinstaller -em)

 

Nie pójdę dalej, dopóki tego nie usuniesz z systemu, gdyż moje procedury mają ustaloną kolejność i konsekwencje. Nie doceniasz siły odpadkowych sterowników ESET, które mogą poważnie zaszkodzić pracy systemu. Co jest niejasne? W linku jest szczegółowa instrukcja z obrazkami. Chyba nie próbujesz narzędzia uruchamiać w Trybie normalnym? Nie będzie działało, tylko i wyłącznie działa z poziomu Trybu awaryjnego Windows. Opisz z czym masz problem.

 

Log z OTL miał być zrobiony po procesie usuwania ESET, gdyż to ma być weryfikacja na skuteczność deinstalera.

 

 

Co jest nie tak z tymi fragmentami ?

 

Przecież mówię: nie wiem co o tym sądzić, bo jest przynajmniej jeden link (podany PrevX), który sklasyfikował to jako malware.

 

 

 

.

[Pivko]

Ok przepraszam za kłopot.

W takim razie z czym sobie nie radzę ?

Nie wiem co wpisywać skąd brać te informacje które mam wpisać i w którym momencie je wpisać. Wiem że to idiotyczne ale mój angielski leży...

[picasso]

Instrukcja uruchomienia narzędzia:

 

1. Zastartuj Windows w Trybie awaryjnym, w przeciwnym wypadku narzędzie nie będzie działać. Uruchom narzędzie.

 

2. Pierwsze pytanie dialogowe Are you really sure to continue (Czy na pewno chcesz kontynuować): z klawiatury wpisz y i ENTER.

 

3. Narzędzie rozpocznie wyszukiwanie zainstalowanych produktów. Jeśli zdoła wykryć szczątki ESET, pokaże linię Installed AV products... z numerkiem pod spodem. A poniżej będzie prośba o wpisanie tegoż numeru korespondującego do wykrytych produktów. Czyli w linii Enter sequence number of AV product to uninstall ... z klawiatury wpisujesz numer (np. 1) i ENTER.

 

4. Deinstalator znów się będzie upewniał czy chcesz to na pewno zrobić. Po pytaniu Are you sure... znajome y i ENTER.

 

5. Przeczekujesz cały proces, a gdy się pokaże Press any key to exit ... z klawiatury ENTER.

 

6. Restart systemu i tworzysz nowy log z OTL.

 

 

 

.

[Pivko]

Za chwilę wykonam Twoje polecenia.

Przepraszam i proszę o wyrozumiałość dla laika heh...

 

Po czynnościach jakie wykonałem wg. Twoich instrukcji wykonałem nowy skan oto jego wyniki: http://wklej.org/id/567211/

Na marginesie pragnę zauważyć, że zniknął problem z tym czymś blokującym mój ostęp do internetu lecz wciąż chyba coś jest nie tak odnośnie rozruchu prawda ?

Czekam na dalsze instrukcje!

[picasso]

ESET Uninstaller ładnie usunął te szczątki. Wykonaj następujące kroki:

 

1. W OTL uruchom Sprzątanie, co zlikwiduje z dysku kwarantannę OTL oraz OTL jako taki. Funkcja wymaga restartu.

 

2. Przeskanuj system za pomocą Malwarebytes' Anti-Malware i przedstaw raport wynikowy (o ile nie będzie pusty).

 

 

Na marginesie pragnę zauważyć, że zniknął problem z tym czymś blokującym mój ostęp do internetu

 

To załatwił pierwszy skrypt do OTL zdejmujący skojarzenie uruchamiania każdego pliku EXE przez plik infekcji.

 

 

lecz wciąż chyba coś jest nie tak odnośnie rozruchu prawda ?

 

Co masz na myśli? Czy jest jakiś dodatkowy problem?

 

 

 

 

.

[Pivko]

Co masz na myśli? Czy jest jakiś dodatkowy problem?

Chodzi mi o to że wciąż przy uruchamianiu się systemu wymagane jest wciśnięcie F1

 

Zgodnie z Twoimi instrukcjami wykonałem sprzątanie oraz restart.

 

Zainstalowałem Malwarebytes' Anti-Malware, a oto jego raport : http://wklej.org/id/567291/

 

P.S Wspaniała pomoc! Muszę przyznać że jesteś profesjonalistką.

Po takim doświadczeniu aż chce się żeby coś się popsuło by powrócić do Ciebie po pomoc hehe

Pozdrawiam i pięknie dziękuję za pomoc !

[picasso]

Zainstalowałem Malwarebytes' Anti-Malware, a oto jego raport

 

Te trzy początkowe wyniki to jest składnik usuwanej infekcji. Wpisy te oznaczają, że linki przypiętych w Menu Start przeglądarek są przekonfigurowane na otwierania via plik infekcji. Usuń oczywiście za pomocą programu. Po tej operacji wykonaj czyszczenie folderów Przywracania systemu: INSTRUKCJE.

 

 

Chodzi mi o to że wciąż przy uruchamianiu się systemu wymagane jest wciśnięcie F1

 

Jakoś nie zauważyłam, że o tym wcześniej pisałeś. Czy na tym ekranie z wymogiem wciskania F1 jest coś dodatkowego napisane? Wejdź do BIOS i sprawdź kolejność bootowania urządzeń (szukaj opcji podobnej do "Boot Sequence", "Boot Order", "1st, 2nd.... Boot Device").

 

 

.

[Pivko]

Więc tak... Mam za pomocą Malwarebytes' Anti-Malware usunąć te infekcje a następnie wykonać czyszczenie folderów Przywracania systemu zgodnie z Twoimi instrukcjami tak?

System Volume Information. Foldery te leżą w głównych katalogach wszystkich dysków, są ukryte (widzialne dopiero po wyłączeniu w opcjach folderów "Ukryj chronione pliki systemu operacyjnego")

Mogę prosić Cię o wytłumaczenie jak je odblokować?

Chodzi mi dokładnie o to jak znaleźć tą opcję "Ukryj chronione pliki systemu operacyjnego"

[picasso]

Tak. A następnie (pod kątem owego F1) sprawdzić w BIOS kolejność urządzeń startowych i podać mi co widzisz.

 

EDIT:

 

 

Mogę prosić Cię o wytłumaczenie jak je odblokować?

Chodzi mi dokładnie o to jak znaleźć tą opcję "Ukryj chronione pliki systemu operacyjnego"

 

Nie! Ty nie masz ręcznie grzebać w tych folderach. Masz wykonać kroki podane niżej dla Windows XP: czyli wyłączyć Przywracanie, a po chwili je włączyć ponownie. To automatycznie czyści te foldery.

 

 

 

.

[Pivko]

wyłączyłem Przywracanie, a po chwili je włączyć ponownie.

A oto co Widziałem w BIOS -sie

quick Boot Enabled

Boot Up Num-Lock On

Boot To OS/2 No

Boot From Network Disabled

VIA SATA Raid Uuility Enabled

• Boot Device Prionity
  

 

A to co widzę na ekranie podczas żądania o wciśnięcie F1

 

Scan Devices, Please wait...

Pres <Tab> key intro User Window!

Serial_Ch0 Master: No Device

Serial_Ch1 Master: No Device

 

Pri Seavw Drive ATAPI Incompatible

Press F1 to resume

[picasso]

Wejdź do menu "Boot Device Priority" i podaj spis co tam widać.

[Pivko]

Po wejściu do menu "Boot Device Priority" widać:

BOT Device Prioriy

1st Disabled

2nd IDE -O: ST3 160815A

3rd Disabled

4th CD/DVD

Try other Boot Devices Yes

[picasso]

Spróbuj zresetować BIOS do ustawień domyślnych i zobaczymy czy będzie jakiś skutek dla zaniku wymogu F1.

[Pivko]

jak to zrobić ?

[picasso]

Szukaj opcji brzmiącej podobnie do "Restore factory settings".

[Pivko]

w BIOS-sie w zkładce Advanced znalazłem :

Chipsed configuration

Resouce configuration

Peripheral configuration

[picasso]

No to mi nic nie mówi, to przecież Ty masz przeglądnąć wszystkie menu i podmenu szukając opcji o wymowie "przywracanie ustawień fabrycznych".

[Pivko]

Znalazłem w zakładce Exit podpunkty

Exit saving changes

Exit discarding

Load Default setting

Discard changes

[picasso]

Tak, to teraz pytam czy to ma jakieś skutki?

[Pivko]

Nie widzę różnicy.

[picasso]

Poszukaj jeszcze w BIOS dokładnych ustawień dysków i przepisz co widzisz. Możliwe, że będziesz musiał sprawdzić rzeczywiste przepięcia urządzeń, zaczynając od testu całkowitego odpięcia CD/DVD.

 

A tak w ogóle to się nasuwa pytanie od kiedy jest ten komunikat z F1, bo że to nie wynik infekcji to pewne. To jest zupełnie inna kategoria problemu = sprzętowa. Tak więc co tu było robione przed wystąpieniem tego po raz pierwszy, czy zmieniałeś w jakiś sposób konfigurację sprzętową / podpinałeś bądź też przepinałeś jakieś napędy?

[Pivko]

Zgadza się. Problem pojawił się w momencie po zrobieniu formata.

Przy okazji formata uznałem że to doskonały moment na podpięcie nowiutkiej nagrywarki.

Podpiąłem nagrywarkę.