Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Antywirus nie otwiera się, 3 konta w banku zablokowane...

daniel659

Przez daniel659
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

daniel659

daniel659

Opublikowano
Opublikowano

Witam, nie otwiera mi sie antywirus ostatnio zablokowalo mi 3 konta w banku w momencie otwierania Kasperskiego wyskakuje bład" „System Windows nie może otworzyć tego programu, ponieważ jest on chroniony przez zasady ograniczeń oprogramowania."

Próbowalem juz wszystkiego wysyłam do was Logi moze ktorys z was to ogarnie. Pozdrawiam Daniel659 Próbowalem wszystkiego adwclnera, ccleanra i nadal to siedzi gowno !! Pomocy  /Dodam tylko ze programy Elsa/Bosch/ESI/Vas sa to programy diagnostyczne na ktorych mi zalezy.Robilem aktu na SP3 nie pomoglo nic..Wylaczalem procesy/autostarty i nic..

FRST.txt

Shortcut.txt

Addition.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Brakuje obowiązkowego raportu z GMER. Problemem jest oczywiście infekcja. Przypuszczalna droga nabycia: luki w starych aplikach (już się pozbyłeś określonych pozycji, co widać w spisie puktów Przywracania systemu). Są też odpadki skanera SpyHunter - z daleka od tego wątpliwego produktu. Poza tym, na dysku są ślady używania DelFix - co to miało na celu, skoro to program usuwający używane narzędzia?

 

 

Przeprowadź następujące operacje:

 

1. Operacja w Trybie awaryjnym na koncie Daniel. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM Group Policy restriction on software: C:\Program Files\Kaspersky Lab 
HKU\S-1-5-21-436374069-1284227242-1801674531-1003\...\Run: [badoo Desktop] => C:\Documents and Settings\All Users\Dane aplikacji\Badoo\Badoo Desktop\1.6.58.1220\Badoo.Desktop.exe
HKU\S-1-5-21-436374069-1284227242-1801674531-1003\...\Run: [GohoGyatr] => regsvr32.exe "C:\Documents and Settings\All Users\Dane aplikacji\GohoGyatr\GohoGyatr.dat"
HKLM\...\Run: [KTSInit] => [X]
HKLM\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot
HKLM\...\Run: [spyHunter Security Suite] => "C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-436374069-1284227242-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-436374069-1284227242-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
BHO: No Name -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> No File
S2 HWDeviceService.exe; "C:\Documents and Settings\All Users\Dane aplikacji\DatacardService\HWDeviceService.exe" -/service [X]
S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X]
S2 VSGate; C:\ElsaWin\bin\VSgate.exe [X]
S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2014-12-14] ()
S3 ASUSProcObsrv; \??\G:\I386\AsProcOb.sys [X]
S3 catchme; \??\C:\DOCUME~1\Daniel\USTAWI~1\Temp\catchme.sys [X]
S3 ESETCleanersDriver; \??\C:\WINDOWS\system32\Drivers\ESETCleanersDriver.sys [X]
C:\Documents and Settings\All Users\Dane aplikacji\GohoGyatr
C:\Documents and Settings\Daniel\TempWmicBatchFile.bat
C:\Documents and Settings\Daniel\Dane aplikacji\Enigma Software Group
C:\Documents and Settings\Daniel\Dane aplikacji\Opera Software
C:\Documents and Settings\Daniel\Moje dokumenty\*(*)-dp*.exe
C:\Documents and Settings\Daniel\Ustawienia lokalne\Dane aplikacji\ESET
C:\Documents and Settings\Daniel\Ustawienia lokalne\Dane aplikacji\Opera Software
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ESET
C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD
C:\Program Files\Mozilla firefox\plugins
C:\Program Files\Opera
C:\WINDOWS\System32\DRIVERS\EsgScanner.sys
C:\sh4ldr
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: sc config "Mobile Partner. RunOuc" start= disabled
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz zaległy GMER (wymagane tymczasowe pozbycie się emulatorów typu DAEMON Tools Lite zgodnie z instrukcjami w ogłoszeniu). Dołącz też plik fixlog.txt.

Odnośnik do komentarza
daniel659

daniel659

Opublikowano
  • Autor
Opublikowano

Wielki Dzieki, zrobilem tak jak napisalaś, nie moglem sie doczekac na odp wiec zaczalem sie bawic usunałem KIS zainstalowalem ESETA on smiga poki co udalo mi sie znalezc jakies syfy typu Shoper pro itp  myśle ze to byla tego wina. Oczywiscie dodaje LOGI jak mozesz to zerknij czy wszystko w porzadeczku ;) GMERA dodam pozniej bo sie jeszcze skanuje.. Chcialem Ci Podziekowac za precyzje i podejscie..

Fixlog.txt

FRST.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

zaczalem sie bawic usunałem KIS zainstalowalem ESETA on smiga

Kaspersky był zablokowany, ale nie ESET:

 

HKLM Group Policy restriction on software: C:\Program Files\Kaspersky Lab 
 

Deinstalacja zdefektowanego programu to tylko ukrycie problemu, a nie jego rzeczywiste rozwiązanie. Przy kolejnej instalacji produktów Kasperskiego znów byłaby niespodzianka. Na szczęście to dedykował już Fix. Poza tym, ten "nowy" ESET to stara edycja sprzed dwóch lat i jeszcze scrackowana.
 
 


poki co udalo mi sie znalezc jakies syfy typu Shoper pro itp myśle ze to byla tego wina

Nie, ShopperPro (adware) nie ma związku. Blokadę wprowadziła konkretna infekcja:
 


HKU\S-1-5-21-436374069-1284227242-1801674531-1003\...\Run: [GohoGyatr] => regsvr32.exe "C:\Documents and Settings\All Users\Dane aplikacji\GohoGyatr\GohoGyatr.dat"

 

Przetwarzanie mojego Fixa, gdy zmieniłeś zupełnie konfigurację skanami, było niezasadne. Fix nie wykona rzeczy, które zostały zrobione innym skanerem - określone wyniki w Fixlog są typu "not found". Na przyszłość: jeśli niecierpliwisz się i zaczynasz grzebać samodzielnie (to zmienia stan w raportach), musisz zarzucić polecenia Fix (one są ściśle dopasowane do konkretnego widoku raportu) > zrobić nowe logi i opisać co namieszałeś.
 

Przedstaw wyciągi ze skanerów co usuwałeś.
Odnośnik do komentarza
daniel659

daniel659

Opublikowano
  • Autor
Opublikowano

A Wiec mialas racje nic to nie dzało dzis mi kolejny raz zablokowalo konto.Nie podobal mi sie rowniez plik " C:\Documents and Settings\All Users\Dane aplikacji\GohoGyatr\GohoGyatr.dat": To go usunalem przez Tryb Awaryjny bo inaczej sie nie dalo go usunac. Jeszcze wczesniej uzylem programu AdwCleaner (podpinam logi) a Jeszcze pozniej zablokowałem wszystkie programy co sie otwieraja autostartem CCleanerem.Ogólnie gdyby nie te programy ktore posiadam to poszedl by Reinstal.Wrzucam Logi.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

DelFix.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Czy mam rozumieć, że wpis GohoGyatr.dat ponownie powrócił już po usuwaniu FRST? Gdy Fix FRST się wykonywał, folderu infekcji już nie było na dysku. W nowych logach nic czynnego nie ma, za to były operacje w msconfig, bo tam owszem jest ów wpis infekcji wyłączony.

Znaleziska w AdwCleaner nie powiązane z główną infekcją - to podrzędne adware. A DelFix służy od usuwania narzędzi a nie infekcji.

 

 

Poprawka na wpisy w msconfig. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GohoGyatr" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kasper" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KTSInit" /f
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Twój opis mnie wprowadził w błąd - myślałam, że powrócił.

 

- Owszem teraz operacja z DelFix i czyszczeniem folderów Przywracania systemu oraz aktualizacja OpenOffice.org (obecna w systemie wersja nie umie korzystać z najnowszej Java, a stara Java = infekcja tego typu).

- Na wszelki wypadek należy także całkowicie zmienić login do banku. Obecnie posiadany jest podejrzany / trefny.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Możesz skasować plik C:\Delfix.txt z dysku. Wyniki skanu ESET:

- System Volume Information to folder Przywracania systemu, a pokazane rekordy to kopie elementów adware zachowane w ounktach Przywracania. Zadałam powyżej czyszzenie tych folderów.

- Plik(numery)-dp.exe to śmieć "Asystent pobierania" dobrychprogramów nastawiony na instalację adware: KLIK.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...