Skocz do zawartości

Nie działają ikony na Pulpicie i błąd przy zamykaniu systemu


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Niestety Malwarebytes Anti-Malware wyłącza się od razu po uruchomieniu. Ikony skrótów internetowych mają zmieniony wygląd - na pulpicie i w folderze Ulubione.

Nie otwiera ich Opera ani IE.

Przy wyłaczaniu komputera pojawia się blue screen i taki komunikat, o ile dobrze odpisałem:

STOP: c0000021a{Bład krytyczny systemu} Proces systemu Windows zakończył się nespodziewanie ze stanem 0xc00000005 (0x10003dec 0x00fbfba8) System został zamknięty.

Wcześniej przy zamykaniu systemu pojawia się na sekundę jakiś niezidentyfikowany obiekt, logo programu? nie wiem dokładnie co to jest

Log z MBR Check

MBRCheck_08.10.10_08.36.06.txt

Wczoraj, przed zalogowaniem się tutaj, nierozsadnie użyłem Combofixa, o czym informuję i dołączam loga.

Log

ComboFix.txt

 

Dzisiaj pojawiło się jeszcze okienko windows security alert i automatycznie włączyła się strona informująca o infekcjach na komputerze - jak w poście Maxaga

 

Malwarebytes instaluje się, ale podczas aktualizacji - znika pasek postępu, tak jakby coś zerwało połączenie. Po uruchomieniu otwiera się główne okno programu i po sekundzie znika.

Prosze o pomoc.

Odnośnik do komentarza
  • 2 miesiące temu...

Do tego co napisałam na PW, daję od razu instrukcje tyczące tego co widać dotychczas. W podsumowaniu: są tu oznaki czynnej infekcji oraz odpadki po częściowo usuniętej (w tym archaizmy takie jak szczątki po rootkicie Sysbus czy spyware Lop...). Są odczyty o brakach plików systemowych, ale te zostaną uzupełnione w późniejszym czasie. Masz system w strasznym stanie aktualizacji (XP SP1). Jest wymagane zainstalowanie SP3, co zabezpieczy system, a przy okazji i automatycznie zrekonstruuje pliki. Instalacja jest przewidziana na koniec, po przeprowadzeniu zadań usuwających. Poza tym, połowa zainstalowanych programów kwalifikuje się do odrzutu ze względu na staroć, konieczne aktualizacje. Na teraz do wykonania:

 

 

1. Ze względu na to co widać w GMER, czyli hooki funkcji bibliotek, zastosuj aplikację KatesKiller. Po ukończeniu pracy z nią:

 

2. Pobierz z linka nową wersję OTL, a także czystą kopię pliku qmgr.dll wyekstraktowaną z SP1: KLIK. Plik wypakuj bezpośrednio na C:\, bo taką ścieżkę uwzględniam w skrypcie.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
c:\windows\system32\qmgr.dll|C:\qmgr.dll /replace
c:\windows\system32\dllcache\qmgr.dll|C:\qmgr.dll /replace
 
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Vad25.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xce57.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"110:TCP"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi9"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=-
 
:OTL
DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\Xce57.sys -- (Xce57)
DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\Vad25.sys -- (Vad25)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\drivers\sysbus32.sys -- (sysbus32)
DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\System32\UTSCSI.EXE -- (UTSCSI)
O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/d/4/4/d446e8a9-3a86-4b59-bb19-f5bd11b40367/wmavax.CAB" (Reg Error: Key error.)
O16 - DPF: {00000161-0000-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/msaudio.cab" (Reg Error: Key error.)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
[2006-12-27 14:13:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Stupid plan media deaf
[2006-12-27 14:13:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\16 show
[2006-12-27 14:13:48 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\BitGrabber
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij usuwanie przez opcję Wykonaj skrypt. Nastąpi restart komputera. Po restarcie otrzymasz z tego log.

 

4. Jest tu para usług, która sugeruje posiadanie jakiegoś podejrzanego programu Recovery Genius (KLIK). Nie widzę takiej pozycji na liście Dodaj / Usuń, więc zachodzi pytanie czy to przypadkiem nie są odpadki po deinstalacji. Jest również możliwe, że deinstalator ma inną formę i nie jest listowany w OTL, bo nie jest zapisany w rejestrze. Czy w Menu Start jest taka pozycja programowa? Czy w ogóle na dysku są jakieś ślady programu, inne niż te zakreślone poniżej?

 

DRV - [2004-09-23 05:28:00 | 000,026,192 | R--- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\YzIdiot.sys -- (YzIdiot)

SRV - [2004-09-23 05:28:00 | 000,086,016 | R--- | M] () [Auto | Running] -- C:\Program Files\Common Files\GoldenSoft\ChannelRg.exe -- (ChannelRg)

 

5. Wytwarzasz nowe logi z OTL oraz GMER. Sumarycznie do prezentacji te logi oraz log powstały z usuwania OTL w punkcie 1.

 

 

 

.

Odnośnik do komentarza

Dziękuję za życzliwą odpowiedź. System tchnie lamusem, ale nie czas na tłumaczenie się.

1. Przed wykonaniem instrukcji nie mogłem wejść na zlinkowaną stronę Kaspersky'ego, dlatego pobrałem Kateskiller z innej lokalizacji i uruchomiłem. Z tego co widzę, będzie konieczna wymiana haseł.

 

2. i 3. Wg instrukcji.

 

4. Tego podejrzanego programu nie ma na liście Dodaj/Usuń ani w Menu Start. Natomiast istnieje katalog c:\Program Files\GoldenSoft\Recovery Genius\WinNT\, który zawiera 4 pliki: fl.bin, mfc42.dll, UninRes.dll, UnInst.exe. Po kliknięciu na deinstalator pojawia się komunikat, że Recovery Genius nie jest zainstalowany. Chyba są to szczątki po deinstalacji.

 

5. Nowe logi:

 

OTL.14.10.Txt

 

Extras.14.10.Txt

 

Gmer.14.10.txt

 

10142010_124454-OTL po usuwaniu.txt

Odnośnik do komentarza
System tchnie lamusem, ale nie czas na tłumaczenie się.

 

Będziemy to naprostowywać, ale w tej chwili jeszcze nie czas.

 

Tego podejrzanego programu nie ma na liście Dodaj/Usuń ani w Menu Start. Natomiast istnieje katalog c:\Program Files\GoldenSoft\Recovery Genius\WinNT\, który zawiera 4 pliki:

fl.bin, mfc42.dll, UninRes.dll, UnInst.exe. Po kliknięciu na deinstalator pojawia się komunikat, że Recoveru Genius nie jest zainstalowany. Chyba są to szczątki po deinstalacji.

 

Będziemy to usuwać metodą "przymusową". Ten Recovery Genius, mimo że wygląda na zdewastowany, to i tak działa w tle = ma czynny sterownik, który zresztą widać i w GMER jako aktywny.

 

Nie mogłem wejść na zlinkowaną stronę Kaspersky'ego, dlatego pobrałem Kateskiller z innej lokalizacji i uruchomiłem.

 

Wygląda na to, że użycie KatesKiller pomogło, ponieważ w GMER ustąpiły wszystkie modyfikacje funkcji. Czy teraz już strona Kasperskiego się otwiera?

 

 

1. Komentując przetwarzanie skryptu w OTL, zaistniał problem z podstawieniem pierwszego pliku i nie widzę, by po restarcie to się wykonało:

 

========== FILES ==========

Unable to replace file: c:\windows\system32\qmgr.dll with C:\qmgr.dll without a reboot.

File c:\windows\system32\dllcache\qmgr.dll successfully replaced with C:\qmgr.dll

 

2. Komentując nowy log z OTL, mamy przyrost kolejnych infekcji.

 

 

Na teraz poproszę o dodatkowy wyciąg zestawień kopii pliku qmgr.dll. Uruchom SystemLook, w oknie wklej poniższy tekst, kliknij w Look i czekaj na raport.

 

:filefind
qmgr.dll

 

Po uzyskaniu tego materiału podam dalsze instrukcje.

 

.

Odnośnik do komentarza
Nie moge uruchomić System Look. Wywala mi komunikat Nie można uruchomić aplikacji, ponieważ jej konfiguracja jest niewłaściwa.

 

U mnie się dzieje to samo na świeżo zainstalowanym systemie wirtualnym. Wyszła tu niespodziewana zależność programu. To jest wynik braku zainstalowanych bibliotek Microsoft Visual C++ Redistributable. W związku z tym, że tu trzeba się śpieszyć z usuwaniem infekcji, nie będę Cię męczyć pobieraniem i instalacją tych bibliotek. To później i tak się doinstaluje.

 

Proszę pobierz nowy ComboFix z linka i uruchom. Zaprezentuj wynikowy raport z jego działania. On przypuszczalnie sam znajdzie i podstawi plik główny qmgr.dll, bo w systemie masz już conajmniej jedną prawidłową kopię ode mnie (OTL wstawił mój plik w katalogu Ochrony systemu plików dllcache). Na widoku także mam przynajmniej częściowe usunięcie widocznych aktualnie w OTL infekcji.

 

 

 

.

Odnośnik do komentarza

ComboFix usunął większość szkodliwych obiektów, które widziałam w OTL, ale pliku nie podstawił jednak:

 

c:\windows\system32\qmgr.dll . . . jest zainfekowany!!

 

Od razu będziemy także usuwać szczątki po Recovery Genius.

 

1. Otwórz Notatnik i wklej w nim:

 

FCopy::
c:\windows\system32\dllcache\qmgr.dll | c:\windows\system32\qmgr.dll
 
Driver::
fngkxwitv
khqlmxop
YzIdiot
ChannelRg
 
File::
c:\windows\system32\drivers\scplhqkvrkfuzb.sys
c:\windows\system32\drivers\oopuhnpkpjv.sys
c:\windows\system32\drivers\YzIdiot.sys
 
Folder::
c:\documents and settings\Administrator\Dane aplikacji\download
c:\program files\Common Files\GoldenSoft
c:\program files\GoldenSoft

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

cfscript.gif

 

[Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach]

 

2. Do oceny wynikowy log z ComboFix.

 

 

 

.

Odnośnik do komentarza

Hmmm, czy Ty na pewno wkleiłeś całość do Notatnika? Nie ma tu żadnej adnotacji o pierwszej komendzie FCopy, a plik qmgr.dll niezmiennie jest punktowany jako zainfekowany. Czy nadal posiadasz kopię pliku C:\qmgr.dll? Tę wezmę.

 

1. Zmontuj w Notatniku kolejny skrypt usuwający do ComboFix, tym razem o zawartości:

 

FCopy::
C:\qmgr.dll | c:\windows\system32\qmgr.dll
C:\qmgr.dll | c:\windows\system32\dllcache\qmgr.dll

 

Uruchamiasz w taki sam sposób jak poprzednio.

 

2. Oczywiście do oceny wynikowy log z ComboFix.

 

 

.

Odnośnik do komentarza

Podmiana wykonana (nie)pomyślnie. Niby tak, a ComboFix nadal widzi plik jako infekcję:

 

c:\windows\system32\qmgr.dll . . . jest zainfekowany!!

 

Pokaż mi zestaw plików z systemu. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

/md5start
qmgr.dll
/md5stop

 

Klik w Skanuj (a nie Wykonaj skrypt!), pokaż log wynikowy.

 

 

.

Odnośnik do komentarza

[2002-09-20 18:04:40 | 000,221,696 | ---- | M] (Microsoft Corporation) MD5=7778B79E6DE07A92A2E545CA04660196 -- C:\qmgr.dll

[2002-09-20 17:04:40 | 000,221,696 | ---- | M] (Microsoft Corporation) MD5=7778B79E6DE07A92A2E545CA04660196 -- C:\WINDOWS\ERDNT\cache\qmgr.dll

[2002-09-20 17:04:40 | 000,221,696 | ---- | M] (Microsoft Corporation) MD5=7778B79E6DE07A92A2E545CA04660196 -- C:\WINDOWS\system32\qmgr.dll

[2003-10-28 20:00:00 | 000,214,016 | ---- | M] (Microsoft Corporation) MD5=EDF7DC4933486EF00FC74BEFEB8E4B04 -- C:\Documents and Settings\Administrator\Pulpit\new\Inst\qmgr\qmgr.dll

 

Co to za plik qmgr.dll na Pulpicie? Usuń go. Co do reszty, coś tu się nie zgadza.

 

  • Po pierwsze, OTL nie wylistował pliku c:\windows\system32\dllcache\qmgr.dll, który przecież był wstawiany conajmniej jeden raz i na pewno był na dysku, gdyż było to odnotowane w którymś logu z OTL, a ostatni ComboFix go także tam kopiował raz jeszcze. W Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Czy widzisz katalog c:\windows\system32\dllcache na dysku i czy w nim jest ten plik?
  • Po drugie, suma kontrolna pliku w system32 jest zgodna z plikiem który dałam, jest flaga producenta i dobry rozmiar, więc nie wiem dlaczego ComboFix widzi go jako "zainfekowany", a nie mam na razie podstaw myśleć, że jest tu coś bardziej ukrytego, co fałszuje odczyt sumy.

Rzuć plik C:\WINDOWS\system32\qmgr.dll na VirusTotal. Jeśli żaden skaner w tym pliku nic nie wykryje, założę że ComboFix ma problem z oceną pliku. Zresztą i tak będzie tu globalny nadpis wszystkich plików Windows poprzez montaż SP3, więc qmgr.dll i tak będzie podstawiany raz jeszcze i w nowszej wersji.

 

 

 

.

Odnośnik do komentarza

To dość podejrzane, że tajemniczo upłynnił się plik w dllcache (na pewno tam był). Z drugiej strony, nie widzę nic dziwnego w pliku który siedzi w system32, a VirusTotal nie wyczuwa w nim zagrożenia. To może przejdźmy już do tej części:

 

1. Posprzątaj po narzędziach (m.in. po to by uniknąć detekcji w skanerach tego co już jest usunięte):

 

  • W Start > Uruchom > wklej polecenie "c:\documents and settings\Administrator\Pulpit\ComboFix.exe" /uninstall. To usunie kwarantannę ComboFix, jego składniki oraz zresetuje punkty Przywracania systemu.
  • W OTL wywołaj funkcję Sprzątanie. To usunie kwarantannę OTL oraz jego składniki.

2. Wykonaj pełne skanowanie dwoma aplikacjami: najnowszym i w pełni zaktualizowanym Malwarebytes' Anti-Malware oraz Kaspersky Virus Removal Tool. Zgłoś się tu z wynikami obu skanerów.

 

 

.

Odnośnik do komentarza

1. Wg instrukcji

 

2. Zrobiłem pelne skanowanie Malwarebytes' Anti-Malware. Usunąłem 5 zainfekowanych obiektów. Poniżej log:

 

mbam-log-2010-10-15 (10-35-27).txt

 

Natomiast nie udalo mi się zainstalować Kaspersky Virus Removal Tool. Przy instalacji pojawił się błąd: Expression error 'Runtime Error (at 48:2178) Could not call proc.' Potem jeszcze jeden Runtime Error (at 65:990). Może to wina braku SP albo bibliotek Microsoft Visual C++ Redistributable, o których pisałaś?

Odnośnik do komentarza

W kwestii tego wyniku w MBAM:

 

C:\WINDOWS\system32\__download__\T52231455.so (Trojan.Downloader) -> Quarantined and deleted successfully.

 

Usuń z dysku przez SHIFT+DEL cały folder C:\WINDOWS\system32\__download__. Taki folder nie istnieje jako część systemu.

 

Natomiast nie udalo mi się zainstalować Kaspersky Virus Removal Tool. Przy instalacji pojawił się błąd: Expression error 'Runtime Error (at 48:2178) Could not call proc.' Potem jeszcze jeden Runtime Error (at 65:990). Może to wina braku SP albo bibliotek Microsoft Visual C++ Redistributable, o których pisałaś?

 

A przepraszam. Nie zauważyłam, że Kaspersky jako minimum w wymaganiach ma XP SP2 i wyżej. Chyba nie ma co czekać i należy wykonać aktualizację systemu z biegu, bo rzeczywiście posiadany system wyklucza uruchomienie pewnych narzędzi, niestety także jest przeszkodą do instalacji niektórych antywirusów. To jest po prostu straszna staroć. Czyli do instalacji masz: Service Pack 3 + Internet Explorer 8. Po wykonaniu pomyślnie tych instalacji udaj się na Windows Update i zainstaluj wszystkie poprawki krytyczne, które zostały opublikowane po SP3. Zgłoś się do raportu.

 

 

.

Odnośnik do komentarza

Aktualizacje elegancko zainstalowane.

 

1. W raporcie jest drobnostka do korekty, nie został uzupełniony plik Usługi indeksowania:

 

SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\cisvc.exe -- (CiSvc)

Plik do pobrania: KLIK. Wstaw sobie na miejsce.

 

2. Przypominam: zmień wszędzie hasła, bo był tu trojan o predyspozycji do ich przechwytywania.

 

3. Generalny remont zainstalowanych aplikacji. Do deinstalacji:

 

  • Wszystkie archaiczne bądź nieaktualne programy związane z malware i zabezpieczeniami: HijackThis 1.99.1, Panicware Pop-Up Stopper Companion, Ad-aware 6 Professional (+ Messenger-Control plug-in for Ad-Aware SE), Spybot - Search & Destroy 1.3, AVG 7.5. Ad-aware i Spybota zastępuje już u Ciebie MBAM oraz SUPERAntiSpyware. Natomiast program antywirusowy albo zamieniasz najnowszą wersją AVG Free Edition 2011, albo wybierasz coś innego w zamian.
  • Zbiór starych Java: posłuż się narzędziem JavaRa, a następnie zainstaluj najnowszą Java.
  • Adobe Reader 6.0.2 CE, w zamian instaluj najnowszy Adobe Reader
  • Sfatygowany PartitionMagic możesz zamienić jednym z tych darmowych nowych programów do partycjonowania: EASEUS Partition Master Home Edition, Partition Wizard Home Edition lub Paragon Partition Manager Free Edition.
  • Przestarzałe niepełnosprawne Gadu-Gadu 6.1. W temacie Darmowe komunikatory masz opisy zamienników. Proponuję od razu WTW lub Mirandę.
  • Do generalnego odrzutu wszystko co związane z multimediami (kodeki / konwertery / odtwarzacze / wypalarki). To jest ponad połowa Twojej listy zainstalowanych programów. Jeśli będzie problem z doborem układu nowych programów / zamienników, pytaj.
  • Do aktualizacji wszystkie inne aplikacje, bo albo to robimy porządnie albo wcale.

4. Po ukończeniu masowych deinstalacji i aktualizacji wyczyść sobie lokalizacje tymczasowe przez TFC - Temp Cleaner.

 

5. Partycja systemowa jest sformatowana w archaicznym systemie plików o większej podatności na awarię:

 

Drive C: | 19,52 Gb Total Space | 8,82 Gb Free Space | 45,18% Space Free | Partition Type: FAT32

 

Wykonaj konwersję bez utraty danych na NTFS. Start > Uruchom > cmd i wpisz komendę: convert C: /fs:ntfs. Na pytanie o dezinstalację woluminu odpowiedz twierdząco.

 

6. Na koniec wykonaj defragmentację dysku w trybie normalnym oraz Boot Time za pomocą darmowego Puran Defrag Free Edition.

 

Zgłoś się tu z podsumowaniem jak działa system i czy coś jeszcze trzeba tu naprawiać bądź dostosowywać.

 

.

Odnośnik do komentarza

Zabieram się do pracy.

 

1. i 2. Zrobione

 

3. Generalny remont w toku.

 

Odinstalowałem stare programy związane z malware, zamiast AVG zainstalowałem Avirę, wyskakiwał błąd podobny jak przy ComboFixie "brak pliku grpconv.exe". Zrobiłem pełny skan. Avira znalazła 3 zainfekowane pliki systemowe. Nic nie usuwałem. Log poniżej.

 

AVSCAN-20101016-151610-5FDED182-2.txt

 

Instalacja Jawy, Adobe Reader 9.4, EASEUS Partition Master Home Edition, Mirandy - to wszystko zrobione.

 

Do generalnego odrzutu wszystko co związane z multimediami (kodeki / konwertery / odtwarzacze / wypalarki). To jest ponad połowa Twojej listy zainstalowanych programów. Jeśli będzie problem z doborem układu nowych programów / zamienników, pytaj.

Zainstalowałem nowego Windows Media Playera. Subedita i KMPlayera chyba mogę zostawić?

Ciężej rozstać się z Nero. Co polecasz jako alternatywę? Mam zainstalowane Express Burn Disc, IMG Burn, InfraRecorder.

Jaki program polecasz do konwersji między formatami audio? obróbki plików MP3? Były takie tematy na poprzednim forum, ale czy te propozycje są jeszcze aktualne?

Wtedy wyrzucę resztę szrotu.

 

Do aktualizacji wszystkie inne aplikacje, bo albo to robimy porządnie albo wcale

To brzmi groźnie. O jakie aplikacje chodzi? Wszystkie? :(

 

4. i 5. Zrobione.

 

Dla zobrazowania zmian nowe logi z OTL:

OTL.16.10.Txt

Extras.16.10.Txt

 

Bardzo dziękuję za poświęcony czas!

Odnośnik do komentarza

Analizując materiały raportów:

 

1. Zapomniałam zadać to pytanie wcześniej, czy Przywracanie systemu jest tu wyłączone celowo?

 

2. Wyniki z Avira:

 

Beginning disinfection:

C:\WINDOWS\system32\qmgrs.dll

[DETECTION] Contains a recognition pattern of the (harmful) BDS/Backdoor.Gen back-door program

[WARNING] The file was ignored!

C:\WINDOWS\system32\exclean.exe

[DETECTION] Contains recognition pattern of the ADSPY/Exact.SearchBar adware or spyware

[WARNING] The file was ignored!

C:\WINDOWS\system32\alv.exe

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[WARNING] The file was ignored!

 

Avira znalazła plik o nazwie bardzo podobnej do pliku systemowego, tego z którym tak walczyliśmy. Różnica w nazwie: qmgrs.dll vs. qmgr.dll. Wszystkie znalezione przez Avira pliki usuń.

 

Odinstalowałem stare programy związane z malware, zamiast AVG zainstalowałem Avirę, wyskakiwał błąd podobny jak przy ComboFixie "brak pliku grpconv.exe".

 

Myślałam, że SP3 to sam uzupełni, bo ten plik jest w paczce SP3. W takim razie zapakowałam oba pliki, które ComboFix wskazywał jako brakujące (grpconv.exe i proquota.exe): KLIK. Wstaw sobie do katalogu system32.

 

Zainstalowałem nowego Windows Media Playera. Subedita i KMPlayera chyba mogę zostawić?

 

Korzystać z nich możesz, tylko mnie chodzi o to, by były pobrane w najnowszych dostępnych wersjach. Z SubEditem i tak jest problem, bo to niepełnosprawny odtwarzacz, uzależniony od obecności WMP, prędzej do edycji napisów. W jaki sposób z niego korzystasz? Jeśli zaś o aktualizacji KMPlayer, to uwaga, nowsze wersje KMPlayer mają w instalatorze Ask Toolbar i należy to ominąć, by nie zaśmiecić systemu.

 

Ciężej rozstać się z Nero. Co polecasz jako alternatywę? Mam zainstalowane Express Burn Disc, IMG Burn, InfraRecorder.

 

Jeśli tak bardzo lubisz to stare Nero, to może zostać. Pozostałe są zaktualizowane? Jeśli mowa o dodatkowych alternatywach, to do wyboru za darmo masz także te programy:

 

Pooglądaj sobie opisy i zrzuty ekranu.

 

Jaki program polecasz do konwersji między formatami audio? obróbki plików MP3? Były takie tematy na poprzednim forum, ale czy te propozycje są jeszcze aktualne?

 

Obróbka plików MP3 = czyli? Transkodowanie audio można wykonać w wielu programach. Przykładowe darmowe propozycje:

 

Komentując aktualny wykaz Twoich programów multimedialnych:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

""SubEditCodecPack"" = "SubEditCodecPack"

"{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}" = Adobe AIR

"{5C74694C-A687-E3EB-FF18-B018D4A76ECD}" = Adobe Media Player

"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD

"dBpowerAMP FLAC Codec" = dBpowerAMP FLAC Codec

"dBpowerAMP Monkeys Audio Codec" = dBpowerAMP Monkeys Audio Codec

"dBpowerAMP Musepack Codec" = dBpowerAMP Musepack Codec

"dBpowerAMP Music Converter" = dBpowerAMP Music Converter

"dBpowerAMP Ogg Vorbis Codec" = dBpowerAMP Ogg Vorbis Codec

"dBPowerAMP Real Audio Encoder R3" = dBPowerAMP Real Audio Encoder R3

"dBpowerAMP WMA V9.1 Codec" = dBpowerAMP WMA V9.1 Codec

"DVD Decrypter" = DVD Decrypter (Remove Only)

"Indeo® XP Software" = Indeo® XP Software

"Matroska Pack" = Matroska Pack

"nevideo" = NeroDigital MPEG-1/2/4 & AVC decoder v2.02

"OggDS" = Direct Show Ogg Vorbis Filter (remove only)

"Advanced Encode Decode Tools v.1.062c" = Advanced Encode Decode Tools v.1.062c

 

  • Seria dBpowerAMP zostanie zastąpiona jednym z programów do przekodowania audio.
  • DVD Decrypter to projekt zarzucony, a ze względu na swoje datowanie, może mieć problemy z obchodzeniem zabezpieczeń na płytach. Jego działanie zastępuje teraz darmowy i nowocześniejszy DVDFab HD Decrypter.
  • Paczka kodeków SubEdit nie jest zbyt nowa, nawet po pobraniu ze strony programu najwyższej dostępnej wersji (KLIK). Jeśli jakąś paczkę masz na uwadze, to prędzej najnowszą wersję K-Lite, rozważnie wybraną w odpowiedniej do potrzeb edycji (by nie zaśmiecić systemu niepotrzebnymi kodekami).
  • Matroska Pack = Zawartość paczki jest kompletnie przestarzała (KLIK). Jej składniki można w singlach pozastępować. Najbardziej aktualnym filtrem DirectShow jest Haali Media Splitter, zaś FFDshow jest już daleko do przodu w stosunku do tego co jest w Matroska Pack.
  • Direct Show Ogg Vorbis Filter jest tu w nieznanej wersji, ale nazwa sugeruje kolejną staroć. Najnowszy zestaw filtrów DirectShow to Open Codecs.
  • Dekoder Nero to pewnie wynikowa obecności starego Nero. Jeśli jest on w ogóle nieużywany do niczego, odinstaluj.
  • Pozycja Indeo sugeruje zainstalowane bardzo stare kodeki Ligos. Do wyrzucenia.
  • Advanced Encode Decode Tools: nie wiem co to jest, wygląda na jakąś paczkę z torrentów.
  • Produkty Adobe używasz? Jeśli nie, odinstaluj. Odtwarzacz Adobe i tak jest już zarzucony, co najwyżej możesz zainstalować nową wersję Adobe Air. PowerDVD - jaka wersja?

To brzmi groźnie. O jakie aplikacje chodzi? Wszystkie?

 

E tam "groźnie". Chodzi po prostu o to, by wszystkie programy były w najnowszych wersjach, gdyż stare wersje mogą mieć luki zwiększające podatność na infekcję, a także stare wersje mogą tworzyć określone problemy w systemie (dlatego czepiam się kodeków). Prócz wyżej wymienionych, nie zostało już dużo na liście programów:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{00000415-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium

"{AF5E8D43-49AD-4BE7-A941-2BB0A8CACA62}" = ACDSee 5.0 Standard

"CDisplay_is1" = CDisplay 1.8

"7-Zip" = 7-Zip 4.23

"AFPL Ghostscript 7.33" = AFPL Ghostscript 7.33

"AFPL Ghostscript Fonts" = AFPL Ghostscript Fonts

"eMule" = eMule

"JDownloader" = JDownloader

"NAPIPROJEKT_is1" = NAPIPROJEKT 1.0.6.1

"Rapid Express_is1" = Rapid Express

"TechniSat DVB Receiver" = TechniSat DVB Receiver

"Totalcmd" = Total Commander (Remove or Repair)

"Winamp" = Winamp

"WinRAR archiver" = Archiwizator WinRAR

"xp-AntiSpy" = xp-AntiSpy 3.93

 

Jeszcze te aplikacje należałoby zaktualizować lub wymienić nowymi odpowiednikami.

 

 

 

.

Odnośnik do komentarza

Dziękuję za niezawodną odpowiedź!

 

Jutro postaram się to zrobić, podsumować i na pewno o coś zapytać. ;)

 

1. i 2. zrobione.

 

  • Wszystkie stare kodeki oraz programy multimedialne poleciały. Zainstalowałem standardową K-Lite. Powinna wystarczyć. Subedita rzeczywiście używam do edycji napisów.

  • Do transkodowania audio - zainstalowałem pierwszy z listy.

  • Obróbka mp3 - chodzi o najprostsza edycję - dzielenie, łączenie plików. Mam mp3DirectCut, ale na pewno są lepsze.

  • Xp-AntiSpy 3.93, Winamp, Napiprojekt, Emule, AFPL Ghostscript, CDisplay, 7-Zip - zaktualizowane. Nowe wersje zostawiłem, reszta poszła do kasacji.

  • Z listy programów zostaje jeszcze: Office - kiedyś zainstalowałem 2007, ale mi kompletnie nie podszedł; ACDSee - potrzebny darmowy odpowiednik, co wybrać?; podobnie z WinRar-em i Total Commanderem.

 

Temat staje się może trochę softwarowy, ale

 

W dziale Wirusy tworzę bardzo silny nacisk na to, by nie posługiwać się archaicznym softem i zalecam natychmiastową wymianę. W mojej opinii to jest podstawowy błąd w zabezpieczeniach i tworzenie pewnego mirażu.

 

Z góry dziękuję za konkretne (p)odpowiedzi i cierpliwość!

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...