JogaBonito Opublikowano 12 Stycznia 2014 Zgłoś Udostępnij Opublikowano 12 Stycznia 2014 Witam, parę dni temu chciałem zainstalować WinDVD, po włączeniu instalatora pojawiła się tylko ramka, a wnętrze było puste. Powód był taki, że mój ESET (najprawdopodobniej) zablokował dostęp do apletu Java, bo widział tam jakieś zagrożenie, ale że WinDVD ma niezłą opinię i czasami ESET potrafi być nadgorliwy, zignorowałem ostrzeżenie. Głupota. Zadowolony po instalacji chciałem odpalić jakiś film, ale komp zaczął trochę mulić i nie wiadomo dlaczego ESET się wyłączył. Próba jego włączenia nic nie zmieniła, bo zaraz się wyłączał. Dziwna sytuacja, ale pomyślałem, że reset pomoże. Niestety, tu nabrałem podejrzeń, bo poza ESETem nie mogłem uruchomić menadżera zadań, a jak wpisywałem w Chromie "wirus", "scanner", "antimalware" itp. zamykał przeglądarkę. Analogiczna sytucja w IE. Zacząłem działać na własną ręke, oczywiście odinstalowałem WinDVD, a CCleaner usunął niepotrzebne klucze. Żadnych innych podejrzanych programów nie widziałem. Odtąd zacząłem pracować w trybie awaryjnym z obsługą sieci. W ruch poszedł ESET online scanner, bo normalny ESET w awaryjnym nie chciał odpalić, (błąd pagefile i hiberfile). Scan znalazł parę rzeczy (pewnie doszło do kolejnych infekcji, jak nie hulał ESET przez kilkanaście minut) i je usunął, ale to nie pomogło. Kolejny program to antimalware od Emnisoftu, ale syfiasty program nic nie znalazł, AdwCleaner i Search & Destroy też nic nie znalazły. Na HiJacku się dobrze nie znam, ale sporo MissingFile z systemu32. Problem nadal nierozwiązany, chociaż wydaje mi się, że banalny. Jak brakuje jakiś informacji to spytać, bo mogłem czegoś ważnego nie napisać. ESET 7 to mój antyvir, a system to Win7 64bit. Daemon odinstalowany, więc wrzucam logi z 3 programów (jak pomoże to moge wrzucić również z HiJacka), GMER quick scan. Z góry dzięki za pomoc. Addition.txt FRST.txt Extras.Txt OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2014 Zgłoś Udostępnij Opublikowano 12 Stycznia 2014 Uwagi na temat używanych skanerów: - ComboFix: brak wzmianki o nim i brak wyników uprzedniej pracy, acz nie widzę w ogóle pliku C:\ComboFix.txt na dysku. Ogólnie na temat używania ComboFix: KLIK. - AdwCleaner: nie dostarczone raporty z wynikami pracy. Są w katalogu C:\AdwCleaner. - SpyHunter: program wątpliwej reputacji, praktyki wymuszania opłat po "pokazaniu wyników" na wabia. - Spybot: przestarzały program, słabe możliwości, zwłaszcza na systemie 64-bit. - HijackThis: Na HiJacku się dobrze nie znam, ale sporo MissingFile z systemu32. Zapomnij o tym programie, odinstaluj. To 32-bitowy archaizm, nie ma natywnego wsparcia dla systemu x64 i nie umie odczytać poprawnie 64-bitowych komponentów. Nie wiedzi ich, stąd fałszywe "file missing". Infekcja jest widoczna, fałszywy wpis Java mający w ścieżkach odwołania do katalogu automatyzacji AutoIt, ponadto na dysku folder minerd (Bitcoin miner) oraz drobne szczątki adware (to akurat ma nikłe znaczenie). Od razu usunę odpadki po skanerach (wszystkie wyglądają na odinstalowane). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Folder: C:\Users\Tajon\AppData\Roaming\AutoIt3 HKCU\...\Run: [Java] - cmd /c cd %APPDATA%\AutoIt3 & AutoIt3.exe soundmng.txt CHR HKLM-x32\...\Chrome\Extension: [hendmekoldfacfhlojkjcnbjegkahclb] - C:\Program Files (x86)\diamondata\hendmekoldfacfhlojkjcnbjegkahclb.crx [2013-11-21] BHO: No Name - {1E8BC5D6-74EB-BEC3-8094-C6D2B00B0D8A} - No File Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Task: {0905F1AB-B3B4-49BA-BB72-9136FA4EC9CF} - \{FCC3BB32-D5C0-4319-B1A0-AECFF350D275} No Task File Task: {2F7A2F40-FBA9-4BC2-A881-403EF27851BD} - \DealPlyLiveUpdateTaskMachineCore No Task File Task: {32330102-08BE-4EB4-94B1-219ABD991D0C} - \TubeSing-3-codedownloader No Task File Task: {7A5993C9-6002-48DF-8DAE-011ACF961D7C} - \TubeSing-3-enabler No Task File Task: {873C1E20-301B-4E23-8CF5-F768C8922B47} - \DealPlyLiveUpdateTaskMachineUA No Task File Task: {A8384BC4-2C37-4943-A371-7EE9400271DA} - \{E3B0D381-2B7B-4311-B2C7-08F21436CD10} No Task File Task: {B5928B99-5CFD-477F-B48F-28EFED941045} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {BEBCA968-C5A3-4231-A180-AC22B0C897EC} - \TubeSing-3-updater No Task File Task: {EF72DE40-E432-4E6B-840F-EB8AB42F34F5} - System32\Tasks\{1D5E0D1F-B644-482B-8197-A3667534E8BA} => C:\Program Files (x86)\PokerStrategy.com\PokerStrategy.com Elephant\Elephant.exe Task: {F8565E88-3C19-49FA-A3CD-B765B0E05EC8} - \DealPlyUpdate No Task File Task: {FCCC02FE-E6E7-442A-B467-0293BE34DF53} - \TubeSing-3-chromeinstaller No Task File Task: C:\Windows\Tasks\Check for updates (Spybot - Search & Destroy).job => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe Task: C:\Windows\Tasks\Refresh immunization (Spybot - Search & Destroy).job => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe Task: C:\Windows\Tasks\Scan the system (Spybot - Search & Destroy).job => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [25928 2013-04-04] (Malwarebytes Corporation) S3 a2acc; \??\C:\PROGRAM FILES (X86)\EMSISOFT ANTI-MALWARE\a2accx64.sys [x] S1 A2DDA; \??\C:\USERS\TAJON\DESKTOP\EMSISOFTEMERGENCYKIT\RUN\a2ddax64.sys [x] S3 cleanhlp; \??\C:\Users\Tajon\Desktop\EmsisoftEmergencyKit\Run\cleanhlp64.sys [x] S3 FT39C1; system32\DRIVERS\FT39C1.sys [x] S3 GWHid; system32\DRIVERS\GWHid.sys [x] U4 vsserv; HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files\Enigma Software Group C:\Program Files\Bitdefender C:\Program Files\Common Files\Bitdefender C:\Program Files (x86)\diamondata C:\Program Files (x86)\Enigma Software Group C:\Program Files (x86)\Emsisoft Anti-Malware C:\Program Files (x86)\Malwarebytes' Anti-Malware C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\1389515030.bdinstall.bin C:\ProgramData\Malwarebytes C:\ProgramData\Spybot - Search & Destroy C:\Users\Tajon\AppData\Local\Norman Malware Cleaner C:\Users\Tajon\AppData\Roaming\launcher.exe C:\Users\Tajon\AppData\Roaming\AutoIt3 C:\Users\Tajon\AppData\Roaming\minerd C:\Users\Tajon\AppData\Roaming\Malwarebytes C:\Users\Tajon\AppData\Roaming\QuickScan C:\Users\Tajon\Documents\Anti-Malware C:\Windows\0028CB34D5D3460FB308A39A095A5E01.TMP C:\Windows\CD09642E061D4844BA37ED1480916404.TMP C:\Windows\system32\sdnclean64.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\mbam.sys C:\Windows\System32\Tasks\{77EB26C2-CCEE-4C7D-8B64-AE8F9D43046E} Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SDWinLogon" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extensions\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Przejdź w Tryb normalny Windows. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz zaległe pliki z katalogu C:\AdwCleaner. . Odnośnik do komentarza
JogaBonito Opublikowano 12 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2014 Co do ComboFix to został ściągniety, ale przeczytałem o nim na tej stronie, więc go nie używałem, bo pewnie coś bym tylko spieprzył. Co do programów to dziękuje za porady, jeśli chodzi o AdwCleanera to jednak coś znalazł i najwyraźniej dałem Usuń, bo parę plików jest w kwarantannie. Póki co największy problem został chyba rozwiązany, bo ESECik śmiga, aczkolwiek nie do końca, bo "Zapora osobista nie działa prawidłowo. Z nieznanej przyczyny nie można było przekonwertować reguł zapory osobistej", poza tym muszę dość długo czekać na pulpit i ikonki. To też przez tego wirusa czy może mam zapchany dysk C? Defragmentacja pomoże? AdwCleanerR3.txt AdwCleanerS1.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2014 Zgłoś Udostępnij Opublikowano 12 Stycznia 2014 Brakuje nowego głównego skanu FRST: 3. Przejdź w Tryb normalny Windows. Zrób nowy skan FRST (bez Addition). Póki co największy problem został chyba rozwiązany, bo ESECik śmiga, aczkolwiek nie do końca, bo "Zapora osobista nie działa prawidłowo. Z nieznanej przyczyny nie można było przekonwertować reguł zapory osobistej", poza tym muszę dość długo czekać na pulpit i ikonki. Zdefektowany ESET może generować ten efekt startowy. Co do ComboFix to został ściągniety, ale przeczytałem o nim na tej stronie, więc go nie używałem, bo pewnie coś bym tylko spieprzył. Na dysku jest widoczny już proces ekstrakcji ComboFix, to nie było tylko pobranie, musiałeś go uruchomić. Być może przerwałeś dostatecznie wcześnie (ale już po fazie robienia kopii rejestru, gdyż jest zrzucona na dysk), ale ślady na dysku wykluczają, by był to tylko plik pobrany. . Odnośnik do komentarza
JogaBonito Opublikowano 12 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2014 Zupełnie zapomniałem to wrzucić. Tak, włączyłem, bo myślałem, że wyskoczy jakieś główne okno, ale ten już chciał zacząć coś działać, ale szybko go wyłączyłem, więc zrobił chyba tylko Backup. Co do ESETa, to zwykła reinstalka pomoże? FRST.txt Odnośnik do komentarza
picasso Opublikowano 13 Stycznia 2014 Zgłoś Udostępnij Opublikowano 13 Stycznia 2014 Wszystko wykonane, jeszcze mini poprawki. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\hendmekoldfacfhlojkjcnbjegkahclb /f HKCU\...\Run: [zASRockInstantBoot] - [x] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Co do ESETa, to zwykła reinstalka pomoże? Przeinstaluj go i zobaczymy co się okaże. Ale: po deinstalacji ESET sprawdź jak startuje Windows bez ESET (by było pewne czy jest przyczyną), dopiero po tym zrób nową instalację. W kwestii samej deinstalacji: najpierw tradycyjnie przez Panel sterowania, po tym wejdź w Tryb awaryjny Windows i popraw narzędziem ESET Uninstaller. . Odnośnik do komentarza
JogaBonito Opublikowano 13 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2014 Poprawki nałożyłem. Odinstalowałem ESETa i chyba troszkę szybciej się ładuje wszystko (ok. 10-12 sekund), z tym że może to być placebo Niemniej jednak nie ma tragedii. Problem pojawia się przy instalacji ESETa - "Błąd podczas próby utworzenia katalogu: C:\ProgramData\ESET\ESET Smart Security", instalowałem zarówno 7 jak i 6, efekt ten sam. Eh te przeciwności losu... Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 14 Stycznia 2014 Zgłoś Udostępnij Opublikowano 14 Stycznia 2014 Skrypt wykonany pomyślnie. Problem pojawia się przy instalacji ESETa - "Błąd podczas próby utworzenia katalogu: C:\ProgramData\ESET\ESET Smart Security", instalowałem zarówno 7 jak i 6, efekt ten sam. Eh te przeciwności losu... Zaprezentuj log utworzony przez narzędzie ESET Uninstaller. . Odnośnik do komentarza
JogaBonito Opublikowano 14 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 14 Stycznia 2014 Proszę bardzo. Przekopiowałem do notatnika wszystko, bo nie chciał wrzucić *.log. ESET.txt Odnośnik do komentarza
picasso Opublikowano 14 Stycznia 2014 Zgłoś Udostępnij Opublikowano 14 Stycznia 2014 Tak myślałam, niepoprawnie użyty ESET Uninstaller, który nic kompletnie nie wykonał: [01/13/14 14:17:45] Installed AV products: [01/13/14 14:17:45] 1. ESS/EAV/EMSX [01/13/14 14:17:45] 2. SEP [01/13/14 14:17:45] Enter sequence number of AV product to uninstall and press ENTER (hint: to abort press 'q'): [01/13/14 14:17:54] ERROR! Unknown option! EXIT! Zostały wykryte dwa produkty do deinstalacji oznaczone numerami 1 oraz 2. Gdy pada pytanie "Enter sequence number of AV product to uninstall" należy wklepać numer z listy wykrytych produktów i ENTER. Nie wpisałeś żadnego numeru, więc deinstalator zwrócił błąd i zakończył działanie. Powtarzaj akcję: start w Trybie awaryjnym, uruchamiasz narzędzie, wklepujesz 1 i ENTER, gdy program ukończy, znów go uruchamiasz i sprawdzasz czy nadal są wykrywane jakieś produkty, jeśli tak, powtarzasz procedurę z wklepywaniem numeru. . Odnośnik do komentarza
JogaBonito Opublikowano 14 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 14 Stycznia 2014 Już nie wykrywa produktu, a problem dalej ten sam. ESET.txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2014 Zgłoś Udostępnij Opublikowano 15 Stycznia 2014 C:\ProgramData\ESET\ESET Smart Security Pytanie: czy nadal jest na dysku folder C:\ProgramData\ESET? . Odnośnik do komentarza
JogaBonito Opublikowano 15 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2014 Zapomniałem, że to ukryty folder. Istnieje nadal, ale są problemy z jego dostępnością, bo "Obecnie nie masz uprawnień dostępu do tego folderu", po kontynuuj nadal jest "Odmowa uprawnień dostępu do tego folderu", zmieniłem to dając w karcie zabezpieczeń siebie jako właściciela, ale w środku jest sporo tych plików, więc nie wiem czy to jest najlepszy sposób, aby każdy z tych plików modyfikować i dopiero po tym spróbować to usunąć. Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2014 Zgłoś Udostępnij Opublikowano 15 Stycznia 2014 Pod kątem tego folderu, otwórz Notatnik i wklej w nim: RemoveDirectory: C:\ProgramData\ESET Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się