Skocz do zawartości

NOD32 - Analiza protokołów aplikacji nie będzie wykonywana


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

mam pewien problem z antywirusem, mianowicie zainstalowałem NODa po czym puściłem skanowanie - program wykrył 42 zagrożenia. Jednak, obecnie wyświetla się informacja o zagrożeniu systemu z powodu braku braku analizy protokołów aplikacji.

W ogóle nie pokazałeś co wykrył. A ten błąd jest opisany w bazie wiedzy ESET: KLIK. Jedna z przyczyn to może być kolizja z innym antywirusem, a tu są niepoprawnie usunięte i aktywne szczątki Avira (sterowniki + wpięcie w Winsock).

 

Doczyszczanie Avira i adware. Punkty 1 + 2 wykonaj z poziomu Trybu awaryjnego Windows:

 

1. Otwórz Notatnik i wklej w nim:

 

S2 AntiVirSchedulerService; "C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe" [X]
S2 AntiVirService; "C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe" [X]
S4 AntiVirWebService; "C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE" [X]
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-18] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-18] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-07] (Avira Operations GmbH & Co. KG)
S3 AthBTPort; system32\DRIVERS\btath_flt.sys [X]
S3 BTATH_A2DP; system32\drivers\btath_a2dp.sys [X]
S3 BTATH_BUS; system32\DRIVERS\btath_bus.sys [X]
S3 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [X]
S3 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [X]
S3 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [X]
S3 BtFilter; system32\DRIVERS\btfilter.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 XFDriver64; \??\C:\Program Files (x86)\Xfire2\XFDriver64.sys [X]
AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => C:\Program Files (x86)\SupTab\SearchProtect64.dll [96768 2014-03-05] (Skytech Co., Ltd.)
AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => C:\Program Files (x86)\SupTab\SearchProtect32.dll [85504 2014-03-05] (Skytech Co., Ltd.)
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX
ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX
ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX&q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&AF=108976&babsrc=SP_ss&mntrId=3eea6d32000000000000742f68b2699a
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX&q={searchTerms}
SearchScopes: HKCU - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
BHO: PrivDog Extension - {FB16E5C3-A9E2-47A2-8EFC-319E775E62CC} - C:\Program Files\AdTrustMedia\PrivDog\1.8.0.15\trustedads.dll (AdTrustMedia)
CHR HKLM-x32\...\Chrome\Extension: [ijblflkdjdopkpdgllkmlbgcffjbnfda] - C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-02-01]
CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-03-26]
Task: {603EBF61-7E42-447E-A4CA-D3F3E5974CC4} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe 
Task: {ACDFA98B-32BC-41B2-BA57-902CFAA2A683} - System32\Tasks\{43DEDC67-20A5-4B12-B53C-3828956DBA72} => E:\Gry\POGSro\POG_SRO\Launcher.exe
Task: {DE60D34B-C9B4-4B00-ADC2-EA2FE1E217B4} - System32\Tasks\{3FA2F6A8-3C62-408A-964B-EE1757D82D04} => E:\Gry\POGSro\POG_SRO\Launcher.exe
C:\Program Files\AdTrustMedia
C:\Program Files (x86)\AdTrustMedia
C:\Program Files (x86)\Avira
C:\Program Files (x86)\SupTab
C:\ProgramData\Adtrustmedia
C:\ProgramData\IePluginService
C:\ProgramData\WPM
C:\Users\Piotrek\AppData\Local\8a562295-241e-4f08-6e6b-b4bd11a3653d
C:\Users\Piotrek\AppData\Roaming\ProgSense
C:\Users\Piotrek\AppData\Roaming\SupTab
C:\Users\Piotrek\AppData\Roaming\webssearches
C:\Windows\System32\DRIVERS\avgntflt.sys
C:\Windows\System32\DRIVERS\avipbb.sys
C:\Windows\System32\DRIVERS\avkmgr.sys
CMD: netsh winsock reset
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zastosuj Avira Registry Cleaner.

 

3. W Google Chrome:

  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  • Ustawienia > karta Historia > wyczyść
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

Odnośnik do komentarza

Witam, wykonałem powyższe kroki. Dołączam logi.

 

@Edit

Rzeczywiście może być coś na rzeczy z pozostałościami Aviry, dawno nie wchodziłem w panel sterowania wiec tego nie zauwazylem, ale na liscie nadal figuruje Avira, chociaz dawno zostala usunieta. Avira Registry cleaner posprzatal stare klucze, ale widocznie nadal cos siedzi.

 

post-2-0-85058600-1398276183_thumb.png

Fixlog.txt

FRST.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

Odnośnik do komentarza

Poprzednie zadania wykonane, z wyjątkiem Google Chrome, nadal widać puste wpisy wtyczek oraz adresy adware:

 

CHR StartupUrls: "https://www.google.pl/", "hxxp://istart.webssearches.com/?type=hp&ts=1396800946&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX", "hxxp://istart.webssearches.com/?type=hp&ts=1396801129&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX"

 

- Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adresy istart.webssearches.com.

- W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

 

Rzeczywiście może być coś na rzeczy z pozostałościami Aviry, dawno nie wchodziłem w panel sterowania wiec tego nie zauwazylem, ale na liscie nadal figuruje Avira, chociaz dawno zostala usunieta. Avira Registry cleaner posprzatal stare klucze, ale widocznie nadal cos siedzi.

To są mniej istotne odpadki NameSpace. Problem był już omawiany na forum: KLIK. Otwórz Notatnik i wklej w nim:

 

Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{305CA226-D286-468e-B848-2B2E8E697B74} /f
Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{305CA226-D286-468e-B848-2B2E8E697B74} /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Skrypt wykonany, więc jak sądzę ten szczątek Avira w Panelu sterowania zniknął.

 

 

Niestety NOD ciągle wyświetla problem.

Na razie nie ruszam COMODO, choć on nie jest wykluczony jako element kolidujący. Spróbuj kolejnych punktów z artykułu ESET:

- Podaj mi log z Farbar Service Scanner.

- Sprawdź Windows Update czy są dostępne jakieś aktualizacje i zainstaluj je. Powtórz szukanie aktualizacji, dopóki nie zostanie zgłoszony komunikat o ich braku.

- Jest tam jeszcze mowa o aktualizacji sterowników sieciowych.

- Reinstalacja ESET wg kroków: normalna deinstalacja przez Panel sterowania, następnie w Trybie awaryjnym pociągnij ESET Uninstaller.

 

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...

Witam, przepraszam że tak długo zajęło mi odpisanie. Przeprowadziłem skanowanie podanym powyżej programem, komputer ma zainstalowane wszystkie najnowsze aktualizacje. Nie udało mi się odinstalować programu przez panel sterowania - dopiero próba eset uninstallerem w trybie awaryjnym przyniosła efekty. Po ponownej reinstalacji antywirusa wszystko wydaje się działać już prawidłowo, nie wyświetlają się żadne ostrzeżenia. Dziekuje bardzo za poświęcony czas i skuteczną pomoc.

 

W razie potrzeby zamieszczam uzyskane logi.

 

Pozdrawiam.

FSS.txt

ESETUninstaller.txt

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...