Mariowawa Opublikowano 30 Marca 2012 Zgłoś Udostępnij Opublikowano 30 Marca 2012 Od wczoraj walcze z czymś co nazywa się " Antyvirus protektion 2012" i wydaje się że wreszcie mi się udało wykasować to "Coś" z komputera. Ale skutkiem ubocznym działania tego programu (tak mi się wydaje) jest to że system informuje mnie o Alercie zabezpieczeń systemu windows. Gdy próbuje włączyć "Centrum Zabezpieczeń" wyskakuje komunikat "Nie można uruchomić usługi Centrum zabezpieczeń" Posiadam system Windows Vista Home Premium 32-bit System przeskanowany: Malwarebytes Anti-Malware Dr.WEB CureIt! Załączam logi z OTL i GMER. OTL.Txt txt.txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 30 Marca 2012 Zgłoś Udostępnij Opublikowano 30 Marca 2012 Infekcja nie jest wyczyszczona do końca (wpis startowy Ocgvvxpe + szczątki folderowe Antivirus Protection 2012). Poza tym, wpuściłeś sobie przez instalację wtyczki vShare adware (przejęte preferencje przeglądarek przez startsear.ch). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [Ocgvvxpe] C:\Users\Mariusz\AppData\Roaming\KBDIRZ.dll () [2012-03-29 20:49:38 | 000,000,023 | ---- | M] () -- C:\Users\Mariusz\AppData\Roaming\4A4522.dat [2012-03-30 10:24:09 | 000,000,000 | ---D | C] -- C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus Protection 2012 [2012-03-30 10:24:08 | 000,000,000 | ---D | C] -- C:\Users\Mariusz\AppData\Roaming\Antivirus Protection 2012 [2010-09-28 22:39:14 | 000,002,333 | ---- | M] () -- C:\Users\Mariusz\AppData\Roaming\Mozilla\Firefox\Profiles\suozdbjz.default\searchplugins\askcom.xml [2012-03-29 19:26:51 | 000,001,210 | ---- | M] () -- C:\Users\Mariusz\AppData\Roaming\Mozilla\Firefox\Profiles\suozdbjz.default\searchplugins\search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Mariusz\AppData\Roaming\Mozilla\Firefox\Profiles\suozdbjz.default\searchplugins\startsear.xml [2011-07-31 17:04:21 | 000,001,565 | ---- | M] () -- C:\Users\Mariusz\AppData\Roaming\Mozilla\Firefox\Profiles\suozdbjz.default\searchplugins\web-search.xml FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q=" :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. System jest pozbawiony pliku HOSTS: Hosts file not found Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\System32\drivers\etc. 3. Odinstaluj vShare, w dwóch miejscach: menedżer rozszerzeń Firefox + Panel sterowania Windows. 4. Wykonaj nowe logi: OTL z opcji Skanuj (już bez Extras) + AdwCleaner z opcji Search + Farbar Service Scanner (wszystkie opcje zaznacz do skanu). . Odnośnik do komentarza
Mariowawa Opublikowano 30 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 30 Marca 2012 wykonałem wszystko jak napisałaś oto logi o które prosiłaś FSS.txt OTL.Txt AdwCleanerR1.txt Odnośnik do komentarza
picasso Opublikowano 31 Marca 2012 Zgłoś Udostępnij Opublikowano 31 Marca 2012 Widzę tu użyty ComboFix, nie było jego składników wcześniej na dysku, a ja nie podawałam żadnych instrukcji z użyciem tego narzędzia. Co to ma znaczyć? Skrzyżowałeś instrukcje, takich rzeczy się nie robi. Proszę pokaż co on robił, tzn. czy jest log z niego z wczorajszego uruchomienia. Następnie, co wstawiałeś w pliku HOSTS? Podawałam domyślną postać dla Vista, czyli dwie linie korespondujące odpowiednio do protokołu IPv4 oraz IPv6: 127.0.0.1 localhost ::1 localhost A logu z OTL widzę tylko jedną linię IPv4: O1 HOSTS File: ([2012-03-30 19:18:39 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hostsO1 - Hosts: 127.0.0.1 localhost I czy Centrum wróciło do normy po użyciu skryptu OTL? Log z Farbar Service Scanner nie wykazuje naruszeń tej usługi. . Odnośnik do komentarza
Mariowawa Opublikowano 31 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2012 Faktycznie użyłem ComboFix, nie miałem pojęcia że ma to znaczenie, przepraszam mam nieduże pojęcie o kompie, logi dołączam. Jeśli chodzi o plik hosts to zrobiłem jak pisałaś i dziś sprawdzałem są obie linie. Alert zabezpieczeń systemu zniknął, Zapora systemu też działa, ale nie mogę wejść w Windows Defender bo wyskakuje komunikat "Nie można zainicjować aplikacji: 0x800106ba. Usługa tego programu została zatrzymana z powodu wystąpienia problemu." jeśli chodzi o Windows Defender już jest wszystko ok. ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 31 Marca 2012 Zgłoś Udostępnij Opublikowano 31 Marca 2012 Tak jak mówiłam, niewdzięcznie skrzyżowałeś akcje ComboFix z OTL i zaburzyłeś ciąg zdarzeń. ComboFix usuwał te same obiekty, które ja zadałam w skrypcie OTL. Naruszył też omyłkowo deinstalatory słownika oraz e-Deklaracji: ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).c:\windows\IsUn0415.exec:\users\Mariusz\AppData\Local\unins000.exe - - - - USUNIĘTO PUSTE WPISY - - - - AddRemove-Poznaj angielski z SuperMemo - poziom podstawowy - c:\windows\IsUn0415.exeAddRemove-{81BF6353-3C5B-4E6E-A566-7E162A00BF72}_is1 - c:\users\Mariusz\AppData\Local\unins000.exe Dla porównania z wcześniejszego OTL Extras czemu odpowiada identyfikator {81BF6353-3C5B-4E6E-A566-7E162A00BF72}_is1: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{81BF6353-3C5B-4E6E-A566-7E162A00BF72}_is1" = Wtyczka e-Deklaracje"Poznaj angielski z SuperMemo - poziom podstawowy" = Poznaj angielski z SuperMemo - poziom podstawowy Czyż nie jest napisane w przyklejonym co to znaczy użycie ComboFix, dlaczego tego się nie używa na własną rękę i co się może stać? A już zwłaszcza, gdy "mam nieduże pojęcie o kompie". Wytoczyłeś potężne działa na wpisy mierne, łatwe do usunięcia na X innych sposobów. Co nagle to po diable. Tu wszystko można było rozwiązać w nieinwazyjny sposób bez ComboFix... nie mogę wejść w Windows Defender bo wyskakuje komunikat "Nie można zainicjować aplikacji: 0x800106ba. Usługa tego programu została zatrzymana z powodu wystąpienia problemu." Log z Farbar Service Scanner nie wykazuje modyfikacji szkodliwej, a w ostatnim dostarczonym OTL usługa na chodzie: SRV - [2008-01-18 23:38:26 | 000,272,952 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend) Czy na pewno to nie Avira blokuje Windows Defender? Antywirusy, by zapobiec konfliktowi, blokują systemowego Defendera. EDIT: do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty łączę. Apropos dodanego wpisu: "jeśli chodzi o Windows Defender już jest wszystko ok." = czyli? Do wykonania jeszcze: 1. AdwCleaner widzi drobnostki. Zastosuj w nim Delete, a następnie Uninstall. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w Uruchom wklej komendę: C:\Users\Mariusz\Desktop\ComboFix.exe /uninstall Po tym możesz użyć Sprzątanie w OTL. I przez SHIFT+DEL skasuj katalog C:\Users\Mariusz\DoctorWeb. 3. Wprawdzie już skanowałeś MBAM, ale na wszelki wypadek zrób skan ponownie i podaj mi rezultaty czy coś jest wykrywane. . Odnośnik do komentarza
Mariowawa Opublikowano 31 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2012 Wykonałem wszystko według instrukcji, MBAM nic nie wykrył załączam log. Wydaje się że wszystko jest ok. Pozostaje mi tylko podziękować Ci za poświęcony czas i zazdrościć tak rozległej wiedzy . Dziękuje bardzo. mbam-log-2012-03-31 (13-24-15).txt Odnośnik do komentarza
picasso Opublikowano 31 Marca 2012 Zgłoś Udostępnij Opublikowano 31 Marca 2012 Na koniec wykonaj sobie jeszcze drobne aktualizacje produktów Adobe: KLIK. Tu na liście Twoje wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Gadu-Gadu" = Gadu-Gadu 7.7 Osobna sprawa to GG7, program archaiczny, nie obsługujący nawet własnej sieci i nie mający szyfrowania. Proponuję przeglądnąć mój artykuł Darmowe komunikatory pod kątem doboru alternatywy. Program liczące się na dziś to: WTW, Kadu, Miranda i AQQ. Pogrubiony jest polecany (portable, brak reklam, szybki w działaniu, obsługa protokołu GG10 i istotnych cech Gadu, wtyczki rozszerzające funkcje). . Odnośnik do komentarza
Mariowawa Opublikowano 1 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Wszystko zaktualizowałem, a z GG ani innych komunikatorów nie korzystam więc po prostu wykasuje zbędny program. Jeszcze raz dziękuje za pomoc i życzę wszystkiego dobrego. Odnośnik do komentarza
Rekomendowane odpowiedzi