Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Xp internet security 2012

zbig70

Przez zbig70
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

zbig70

zbig70

Opublikowano
Opublikowano

witam,

mam problem, usunąłem sam z rejestru wirusa znanego jako xp internet security 2012 wyświetlającego fałszywe alarmy o zainfekowaniu systemu. Teram wprawdzie alerty się nie ukazują i firefoxa można już używać, ale pojawił się inny problem - nie da się otworzyć normalnie programów (pojawia się tylko hasło: podaj program którego chcesz użyć do otwarcia tego pliku), omijam to klikając opcję otwórz jako, ponadto niektórych rzeczy w ogóle nie można otworzyć (przykładowo dodaj lub usuń programy w panelu sterowania - pojawia się komunikat: C:\Windows\system32\rundll32.exe nie można odnaleźć aplikacji). Internet Explorer nie działa. Jednym słowem krajobraz jak po burzy. Załączam logi z OTL. Zaznaczam, że nie jestem wielkim specjalistą w materii.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Problem nadal istnieje, gdyż niedokładnie usuwałeś wpisy infekcji z rejestru, nie zdjąłeś skojarzenia EXE. Poza tym, łańcuch Winsock wygląda na uszkodzony:

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 -  File not found

Windows jest w krytycznym stanie aktualizacji:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)

I bardzo mało wolnego miejsca na dysku systemowym zostało:

 

Drive C: | 14,66 Gb Total Space | 1,71 Gb Free Space | 11,63% Space Free | Partition Type: NTFS

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O35 - HKCU\..exefile [open] -- "C:\Documents and Settings\Zbigniew\Ustawienia lokalne\Dane aplikacji\dit.exe" -a "%1" %*
O37 - HKCU\...exe [@ = exefile] -- "C:\Documents and Settings\Zbigniew\Ustawienia lokalne\Dane aplikacji\dit.exe" -a "%1" %*
IE - HKCU\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} -  File not found
IE - HKCU\..\URLSearchHook: {1c2fe2c0-2770-46b2-8c02-1202fc13dfac} -  File not found
O2 - BHO: (PakSpace Toolbar) - {1c2fe2c0-2770-46b2-8c02-1202fc13dfac} -  File not found
O3 - HKLM\..\Toolbar: (PakSpace Toolbar) - {1c2fe2c0-2770-46b2-8c02-1202fc13dfac} -  File not found
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (PakSpace Toolbar) - {1C2FE2C0-2770-46B2-8C02-1202FC13DFAC} -  File not found
O4 - HKLM..\Run: [CnxDslTaskBar]  File not found
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKCU..\Run: [743349279]  File not found
O4 - HKCU..\Run: [spybotSD TeaTimer]  File not found
O9 - Extra Button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -  File not found
O9 - Extra 'Tools' menuitem : &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -  File not found
O21 - SSODL: crktsaq - {FADC9168-BED0-42C6-8C83-1F6FCBCE5E0A} -  File not found
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\b8vh04c1bd146rqc12k2k4k78sn2ge17
netsh winsock reset /C
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. EXE już zaczną działać. Możesz się udać do Dodaj / Usuń programy i odinstalować śmieć PakSpace Toolbar (wygląda na szczątek) + Spybot - Search & Destroy (program przestarzały).

 

3. Wykonaj nowe logi do oceny: OTL opcji Skanuj (Extras nie potrzebuję już) + AD-Remover trybu skanowania + zaległy GMER. Dorzuć też log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Proszę używaj funkcę "Edytuj", jeśli nikt pod Tobą nie odpisał jeszcze, zamiast tworzyć cykl własnych postów. I nie cytuj całego poprzedniego posta większego niż Twoja własna odpowiedź. Nadwyżkę usuwam.

 

 

niestety OTL wprawdzie zaczyna działać, ale kiedy klikam OK żeby uruchomił ponownie system nie robi tego, próbowałem ręcznie ponownie uruchomić ale programy dalej się nie urochmiają

 

Z tego wynika, że skrypt wcale nie wykonany, bo wpisy przetwarzania asocjacji EXE są ustawione jako piorytetowe i gdyby były przetworzone, EXE już by działały. Ogranicz zawartość skryptu OTL do (bez zabijania procesów):

 

:OTL
O35 - HKCU\..exefile [open] -- "C:\Documents and Settings\Zbigniew\Ustawienia lokalne\Dane aplikacji\dit.exe" -a "%1" %*
O37 - HKCU\...exe [@ = exefile] -- "C:\Documents and Settings\Zbigniew\Ustawienia lokalne\Dane aplikacji\dit.exe" -a "%1" %*
IE - HKCU\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} -  File not found
IE - HKCU\..\URLSearchHook: {1c2fe2c0-2770-46b2-8c02-1202fc13dfac} -  File not found
O2 - BHO: (PakSpace Toolbar) - {1c2fe2c0-2770-46b2-8c02-1202fc13dfac} -  File not found
O3 - HKLM\..\Toolbar: (PakSpace Toolbar) - {1c2fe2c0-2770-46b2-8c02-1202fc13dfac} -  File not found
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (PakSpace Toolbar) - {1C2FE2C0-2770-46B2-8C02-1202FC13DFAC} -  File not found
O4 - HKLM..\Run: [CnxDslTaskBar]  File not found
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKCU..\Run: [743349279]  File not found
O4 - HKCU..\Run: [spybotSD TeaTimer]  File not found
O9 - Extra Button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -  File not found
O9 - Extra 'Tools' menuitem : &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -  File not found
O21 - SSODL: crktsaq - {FADC9168-BED0-42C6-8C83-1F6FCBCE5E0A} -  File not found
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\b8vh04c1bd146rqc12k2k4k78sn2ge17
netsh winsock reset /C

Gdy ukończy, ręcznie zresetuj system i przejdź do podanych wcześniej punktów 2+3.

 

 

 

 

 

.

Odnośnik do komentarza
zbig70

zbig70

Opublikowano
  • Autor
Opublikowano

Przesyłam wszystkie logi oprócz Ad-Remover (nie działał mi dzisiaj internet stacjonarny i nie mogłem go zainstalować na tym komputerze, logi wysyłam z mobilnego) . Trochę dziwne jest to że w sumie na komputerze jest zainstalowany NOD32 i Spybot a mimo to wirus przeszedł. Co trzeba by mieć zainstalowane żeby takich rzeczy nie przepuszczało? Na drugim komputerze mama avasta

gmer.txt

OTL.Txt

08022011_230917.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Przesyłam wszystkie logi oprócz Ad-Remover (nie działał mi dzisiaj internet stacjonarny i nie mogłem go zainstalować na tym komputerze, logi wysyłam z mobilnego)

 

Poczekam na ten log. Jest mi on potrzebny do weryfikacji pewnych miejsc niewidzialnych out-of-box w OTL. Na teraz zadaję małą robotę. W tym systemie działają szczątki Kasperskiego i posłuż się narzędziem Kaspersky Remover.

 

DRV - [2005-06-16 18:50:36 | 000,010,995 | ---- | M] (Kaspersky Lab) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\klmc.sys -- (Klmc)
DRV - [2005-06-16 18:50:33 | 000,129,296 | ---- | M] (Kaspersky Labs) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\klif.sys -- (Klif)

 

Trochę dziwne jest to że w sumie na komputerze jest zainstalowany NOD32 i Spybot a mimo to wirus przeszedł. Co trzeba by mieć zainstalowane żeby takich rzeczy nie przepuszczało?

 

Ale o czym my tu mówimy. :P Same starocie. Twój ESET ma datowanie komponentów równe 2006 (nie myl tego z aktualizacją samych definicji per se), to jest archaiczny twór nie przystosowany w ogóle do warunków bieżących. Następnie, Spybot to przestarzały program (jego rolę przejmują dziś nowoczesne antywirusy) i niezdolny nawet reagować na tę infekcję. Cały majdan będzie tu z systemu na samym końcu deinstalowany i zastąpiony czymś znacznie bardziej au courant. Na razie jednak jestem w fazie porządków innego typu.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ten log z Kavremovera nieprzydatny do niczego, usuwam. Na temat AD-remover: jeszcze drobnostki zostały.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Zbigniew\Ustawienia lokalne\Dane aplikacji\Conduit
C:\Program Files\Conduit
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"=-
[-HKEY_CURRENT_USER\Software\Conduit]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\9021008e-7884-4341-adbb-e02428b5f490]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\b1aa6223-9859-47f5-a067-bf40e0b3d028]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\b2eeee82-653e-4d33-9df3-cac020aafc83]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT129517]
[-HKEY_LOCAL_MACHINE\Software\Conduit]

Klik w Wykonaj skrypt.

 

2. Przedstaw do oceny nowy log z AD-Remover trybu skanowania.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ukończyliśmy część usuwającą. Została część porządkowa i aktualizacyjna.

 

1. Porządki po używanych narzędziach: odinstaluj AD-Remover + użyj funkcję Sprzątanie w OTL.

 

2. Spore obowiązkowe roboty aktualizacyjne. Ostatni z dostarczonych logów OTL Extras mówi o zainstalowanych:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000415-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java™ 6 Update 15
"{3248F0A8-6813-11D6-A77B-00B0D0150050}" = J2SE Runtime Environment 5.0 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.6
"{7148F0A8-6813-11D6-A77B-00B0D0142040}" = Java 2 Runtime Environment, SE v1.4.2_04
"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{DBC3FDEC-D5F4-439C-9A18-EF454A74E3DE}_is1" = NOD32 FiX v1.3
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"KLiteCodecPack_is1" = K-Lite Codec Pack 2.34 Full
"Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18)
"NOD32" = NOD32 antivirus system
"Ram Cleaner" = Ram Cleaner 1.40 XP
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX

  • System: krytyczny poziom aktualizacji i odcięcie od bieżących łatek (Microsoft nie wspiera XP poniżej progu SP3). Niezbędnym jest tu uzupełnienie o Service Pack 3 (rok wydania 2008), a następnie odwiedziny Windows Update i uzupełnienie wszystkich krytycznych aktualizacji wydanych po SP3.
  • Oprogramowanie zabezpieczające: jak mówiłam, wylatuje stąd na dobre ESET i jego crack oraz Spybot. W zamian proponuję darmowy Avast, który swobodnie zastępuje obie starocie tu punktowane.
  • Do aktualizacji też przeglądarka, Java i wszystkie produkty Adobe (starsze wersje usuń przed instalacją najnowszych): INSTRUKCJE.
  • Dodatkowe uwagi: Skype czas aktualizować, bardzo archaiczne kodeki do wywalenia i zastąpienia czymś nowoczesnym, a softu typu "czyszczenie RAM" w ogóle nie polecam (można osiągnąć skutki odwrotne od zamierzonych).

3. Po bogatych (de)instalacjach z punktu 2 wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner

 

4. Na koniec opróżnij foldery Przywracania systemu (INSTRUKCJE).

 

Po wykonaniu wszystkiego od A do Z zgłoś się tu ze sprawozdaniem na temat wykonania prac.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie wymazuj postów zastępując jedną treść drugą, poprzednio obecna informacja, że na Firefox pobieranie poszło może przecież przydać się innym osobom. Na temat nowego problemu:

 

 

Nie wiem czemu ale nie chce mi zainstalować service pack 3, pod koniec instalacji wyskakuje "napotkano problem podczas instalacji"

 

Może coś z tego: KB950718. Zmień kolejność zadań i na początek wywal ESET (który i tak idzie na ubój). Poza tym, zastanawiam się czy nie masz problemu z wolnym miejscem, na początku sytuacja była nieomal krytyczna:

 

Drive C: | 14,66 Gb Total Space | 1,71 Gb Free Space | 11,63% Space Free | Partition Type: NTFS

....ostatni log z OTL pokazał zmianę:

 

Drive C: | 14,66 Gb Total Space | 4,54 Gb Free Space | 30,95% Space Free | Partition Type: NTFS

A ile teraz jest to nie wiem.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Chyba już czytam Ci w myślach bo zaraz po dodaniu pytania wywaliłem Eseta i zainstalowałem Avasta, teraz będę dalej próbował, dzięki

 

Kaszpirowski tylko w połowie :P, bo wsadzenie Avast natychmiast po ESET a przed instalacją SP3 nie zmienia postaci rzeczy pod kątem tego co miałam na uwadze odnośnie SP3. Aktywne oprogramowanie antywirusowe może uniemożliwić prawidłową instalację pakietu Service Pack. Skoro już się pośpieszyłeś i Avast wstawiony, to nie zapomnij kompletnie ubić wszystkie osłony rezydentne, by nie utrudniać instalacji SP3.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...