avast + windows XP

[korzen01]

Witam

 

Mam problem z kompem (jak każdy). Dziś AVAST poprosił o zaktualizowanie bazy wirusów, więc ją zaktualizowałem. Wszystko było dobrze aż do restartu systemu. Komputer się odpalał dochodził do czarnego ekranu windowsa i znów się restartował i tak w kółko. Uruchomiłem go awaryjnie z datą systemy sprzed kilku dni i jest ok. Jednak nie mam teraz AVASTA bo boję się go znów aktualizować.

Nie wiem czy to jest problem z moim kompem (chociaż tak obstawiam) czy z AVASTEM.

Proszę o pomoc

[3oo]

Bez jakichkolwiek logów to trudno cokolwiek doradzić. Proponowałbym uzupełnić temat o wymagane logi z działu... Fixitpc.pl » FIX PC - Pomoc techniczna » Diagnostyka malware - Centrum bezpieczeństwa » Dział pomocy doraźnej

Patrz przyklejony tam temat Ogłoszenie WAŻNE - Zakładanie tematu: obowiązkowe logi. > https://www.fixitpc.pl/forum/38-dzial-pomocy-doraznej/

Potem użyj przycisku ! Raportuj i poproś o przeniesienie tematu do tego działu celem sprawdzenia logów. Nie będzie infekcji to temat pewno wywędruje gdzie indziej...

[korzen01]

Logi:

Extras.Txt

OTL.Txt

GMER.txt

Edytowane 16 Sierpnia 2011 przez picasso
Tematy połączone. //picasso

[picasso]

korzen01

 

Po co dwa tematy? Oczywiście łączę, a temat w całości idzie do działu Windows XP, bo infekcji w stanie czynnym tu nie ma. Tylko porządki po śmieciach wymagane (paski sponsoringowe, wpisy puste) i deinstalacja archaicznych problematycznych softów.

 

----> Nawiasem: log z GMER robiony w złych warunkach, przy czynnym emulatorze wirtualnych napędów (KLIK). Bardzo starym emulatorze (i radzę się go pozbyć na stałe, by uniknąć np. takich kłopotów: KLIK / KLIK):

 

DRV - [2004-08-22 17:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)
DRV - [2004-08-22 17:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\DRIVERS\d347bus.sys -- (d347bus)

 

----> Prócz wymienianego wyżej lamusa jest także kolejna aplikacja, która może tworzyć problemy, czyli bardzo stara zapora NVIDIA ForceWare Network Access Manager:

 

SRV - [2006-07-13 17:59:48 | 000,131,131 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe -- (nSvcIp)
SRV - [2006-07-13 17:59:32 | 000,065,599 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe -- (nSvcLog)
SRV - [2006-04-03 19:04:02 | 000,020,543 | ---- | M] (Apache Software Foundation) [Auto | Running] -- C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe -- (ForcewareWebInterface)

 

1. Na początek deinstalacje sfatygowanego oprogramowania oraz sponsorów:

• Otwórz menedżer rozszerzeń Firefox i odinstaluj: Conduit Engine, myBabylon EnglishBB Community Toolbar, Softonic-Polska Community Toolbar, vShare.
  
• W Dodaj / Usuń programy odinstaluj śmieci sponsoringowe: Ask Toolbar, Babylon, myBabylon English Toolbar, Conduit Engine, Softonic-Polska Toolbar. Również wymieniany wyżej NVIDIA ForceWare Network Access Manager.
  
• Jak mówiłam: także archaiczny DAEMON Tools Lite, jego deinstalator powinien być z kolei w Menu start.
  

2. Zastosuj AD-Remover w trybie usuwania. Powinien dokasować szczątki Conduit, vShare i PriceGong.

 

3. Wykonaj drobny skrypt czyszczący. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt.

 

:OTL
O4 - HKLM..\Run: [WinampAgent]  File not found
O4 - HKU\S-1-5-21-1275210071-725345543-839522115-1003..\Run: [Wjidezenocop]  File not found
O4 - HKU\S-1-5-21-1275210071-725345543-839522115-1003..\Run: [wuaucldt]  File not found
O16 - DPF: DirectAnimation Java Classes "file://C:\WINDOWS\Java\classes\dajava.cab" (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java "file://C:\WINDOWS\Java\classes\xmldso.cab" (Reg Error: Key error.)
 
:Commands
[emptyflash]
[emptytemp]

 

4. Do oceny przedstaw: nowy log z OTL z opcji Skanuj + log z AD-Remover trybu skanu.

 

 

Nie wiem czy to jest problem z moim kompem (chociaż tak obstawiam) czy z AVASTEM.

 

Z logów nie da się w ogóle wyczytać w czym mógł być problem, bo przecież jest stan zrolowany Przywracaniem systemu i trudno tu wnioskować co się wtedy stało.

 

 

 

3oo

 

Potem użyj przycisku ! Raportuj i poproś o przeniesienie tematu do tego działu celem sprawdzenia logów. Nie będzie infekcji to temat pewno wywędruje gdzie indziej...

 

Logi można podać w obojętnym dziale forum, dział Malware nie jest przecież działem sprawdzania logów (to tylko metoda wyciągania danych). Po co się bawić w jakieś Raporty / przenoszenie uprzedzając fakty.

 

 

 

.

[korzen01]

scany

Extras.Txt

OTL.Txt

Ad-Report-SCAN2.txt

[picasso]

Czy przypadkiem program AD-Remover nie był uruchamiany podczas działającego Firefox? Ten log nie wygląda po prostu jak po użyciu opcji Clean, gdyż program wykrywa wpisy które już dawno powinien zlikwidować, mimo że spis logów na spodzie niejako potwierdza zastosowanie opcji Clean.

 

1. Jeszcze raz: Firefox ma być zamknięty, a jego proces całkowicie odładowany. Dopiero w takich warunkach uruchom AD-Remover w trybie Clean. Następnie załaduj drobną poprawkę adresującą to czego AD-Remover nie ruszy, w OTL wklejając w sekcji Własne opcje skanowania / skrypt co podane niżej i klik w Wykonaj skrypt.

 

:OTL
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..extensions.enabledItems: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}:3.3.3.2
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
[2009-10-28 19:47:08 | 000,001,250 | ---- | M] () -- C:\Documents and Settings\korzen\Dane aplikacji\Mozilla\Firefox\Profiles\htdsfali.default\searchplugins\winamp-search.xml
[2010-09-17 20:48:18 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\0d406568-0d71-4f9a-8b42-a0b95464a81c]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\22738848-e203-41bb-8923-17e309a6a8e1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\94bdf565-1aca-41d2-bc0a-efcb5f515ce4]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\d18ae16e-3747-4ca0-8b3d-a25994c4e284]

 

2. System ma krytyczny poziom zabezpieczeń:

 

Windows XP Professional Edition Dodatek Service Pack. 1 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2800.1106)

 

Sito i odcięcie od aktualizacji (MS zablokował Windowsy poniżej progu SP3). Obowiązkowo należy uzupełnić Service Pack 3 + Internet Explorer 8 + wszystkie łaty wydane po SP3 (pobrane z Windows Update): INSTRUKCJE. Tak, IE również, niezależnie od tego, że użytkujesz Firefox. Silnik IE i tak jest używany przez system i należy go łatać.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{18E65799-76BD-46EF-9E53-972FE5A40736}" = Opera 10.62
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java™ 6 Update 17
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.2 - Polish
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"Gadu-Gadu" = Gadu-Gadu 7.6
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.3.0 (Basic)
"Mozilla Firefox 5.0.1 (x86 pl)" = Mozilla Firefox 5.0.1 (x86 pl)

 

Te aplikacje także należy zaktualizować, a ledwo żywe kalekie GG7 można zamienić bardziej wytrawną alternatywą. Poczytaj temat Darmowe komunikatory (propozycje: AQQ, Kadu, WTW, Miranda ... reszta się nie liczy).

 

 

 

.

Edytowane 12 Grudnia 2011 przez picasso
12.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi autora. //picasso