Antywirus może być niezainstalowany

[3MOON]

Witam

System Win XP Pro Sp3. Problem jak w temacie. Komunikat z centrum zabezpieczeń. Mimo, że wszystko niby jest ok - Avast zainstalowany i zaktualizowany. Przeskanowałem komputer Malwerbytesem i ten znalazł 25 infekcji tego samego wirusa. Niestety teraz nie mogę dać loga bo nie mam dostępu do tego komputera a zapomniałem przerzucić na pena. Niżej daję OTL i GMER

Gmer.txt

OTL.Txt

Extras.Txt

[Landuss]

W tych logach właściwie nie widać aktywnej infekcji, a log z MBAM by się przydał abyśmy wiedzieli co tam zostało wykryte. Log extras z OTL pokazuje pare błędów z WMI co jest powiązane z Centrum zabezpieczeń więc prawdopodobnie wynikiem problemu nie jest infekcja. Zacznijmy od ponownej rekestracji WMI. W tym celu wklej do systemowego Notatnika taki tekst:

 

WINMGMT.EXE /REGSERVER

CD C:\WINDOWS\system32\WBEM

for %i in (*.dll) do RegSvr32 -s %i

net stop winmgmt

net start winmgmt

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik

 

Przerestartuj system. O efektach poinformuj.

 

 

 

[3MOON]

Przepraszam, że tak pauzuję ten temat ale przypadkiem odkryłem w tym komputerze usterkę natury fizycznej. Wyłączał się więc zajrzałem do środka. Okazało się, że uchwyt od radiatora jest uszkodzony. Muszę więc chwilę poczekać na części.

[3MOON]

Witam

Odświeżam temat.

Fix.bat nie przyniósł niestety efektu. Niżej daje loga z MBAMa tak na wszelki wypadek. Daje też nowe z OTL

MBAM.txt

OTL.Txt

Extras.Txt

[Landuss]

Z tego co widzę w logach pojawiła się nowa infekcja, której wcześniej nie było. Prosze sporządzić też nowy log z Gmer.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt (Custom Scan/Fixes) wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-839522115-515967899-2146800195-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
O3 - HKU\S-1-5-21-839522115-515967899-2146800195-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-839522115-515967899-2146800195-1003\..\Toolbar\WebBrowser: (Tango) - {4A4B8842-B291-4740-B866-899EF5F2C356} - C:\WINDOWS\System32\2f78.dll File not found
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-839522115-515967899-2146800195-1003..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe File not found
O4 - HKU\S-1-5-21-839522115-515967899-2146800195-1003..\Run: [iGoD] D:\DM\iGoDr014.exe File not found
O4 - HKU\S-1-5-21-839522115-515967899-2146800195-1003..\Run: [sfKg6wIPuSp] C:\Documents and Settings\Krzysiek\Dane aplikacji\Microsoft\Windows\jnipmo.exe ()
 
:Files
C:\Program Files\SpaceQuery
C:\Documents and Settings\All Users\Dane aplikacji\SpaceQuery
C:\Documents and Settings\Krzysiek\Dane aplikacji\Microsoft\Windows\jnipmo.exe
 
:Services
SpaceQuery Service
 
:Commands
[emptyflash]
[emptytemp]
[resethosts]
[clearallrestorepoints]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i brakujący log z Gmer.

 

 

 

 

[picasso]

Aktualny log z OTL = system nie jest czysty. Adware SpaceQuery / Tango Toolbar (i m.in. powiązany "trojan downloader" jnipmo.exe). Log z MBAM jest za stary w kontekście loga z OTL. MBAM powinien sam usunąć przynajmniej niektóre z tych, które obecnie widzę.

 

1. Rozpocznij od deinstalacji przez Dodaj/ Usuń pozycji SpaceQuery i GabPath.

2. Wykonaj kompletny skan przez MBAM na zaktualizowanych bazach.

3. Zaprezentuj wynikowy log z OTL.

 

Problem jak w temacie. Komunikat z centrum zabezpieczeń. Mimo, że wszystko niby jest ok - Avast zainstalowany i zaktualizowany.

 

+

 

Fix.bat nie przyniósł niestety efektu.

 

Ten FIX.BAT dedykuje inne aspekty WMI. Błędy z OTL o kwerendach i tego typu:

 

Error - 2010-07-07 11:56:51 | Computer Name = KOMPUTER_KRZYŚK | Source = WinMgmt | ID = 27
Description = Moduł WinMgmt nie może otworzyć pliku składu. Powodem mogą być niewystarczające
 prawa dostępu do "\System32\WBEM\Repository", za mało wolnego miejsca
 na dysku lub za mało pamięci.

 

... sugerują raczej, że tu jest potrzebny reset Repozytorium, by uzgodnić dane między Centrum a sytuacją faktyczną. Czyli BAT o zawartości:

 

net stop winmgmt
RD /S /Q C:\WINDOWS\system32\wbem\Repository
net start winmgmt
pause

 

EDIT: Pisałam nie widząc odpowiedzi Landussa. Można i skryptem robić, ale jeszcze zostają wpisy w Dodaj/Usuń programy.

 

 

 

.

Edytowane 7 Lipca 2010 przez picasso

[3MOON]

Dostosowałem się do poleceń Picasso. Taki tam sentyment.

Centrum już działa jak powinno

MBAM.txt

OTL.Txt

[picasso]

Została tu kosmetyka, zapiski typu "not found".

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: {0A328249-98DF-476C-9D25-3853C961DAB9}:1.0
IE - HKU\S-1-5-21-839522115-515967899-2146800195-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O3 - HKU\S-1-5-21-839522115-515967899-2146800195-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-839522115-515967899-2146800195-1003\..\Toolbar\WebBrowser: (Tango) - {4A4B8842-B291-4740-B866-899EF5F2C356} - C:\WINDOWS\System32\2f78.dll File not found
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-839522115-515967899-2146800195-1003..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe File not found
O4 - HKU\S-1-5-21-839522115-515967899-2146800195-1003..\Run: [iGoD] D:\DM\iGoDr014.exe File not found
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} "http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.)
O33 - MountPoints2\{88a85f72-6d9a-11df-b891-0017315dfb53}\Shell - "" = AutoRun
O33 - MountPoints2\{88a85f72-6d9a-11df-b891-0017315dfb53}\Shell\AutoRun\command - "" = G:\WM0453F.exe -- File not found
DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\drivers\mpvfkdu.sys -- (soaye)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\DRIVERS\AmdK8.sys -- (AmdK8)
[2009-11-02 19:58:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\B1C5
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4A4B8842-B291-4740-B866-899EF5F2C356}] 
 
:Commands
[emptyflash]
[emptytemp]
[clearallrestorepoints]

 

Uruchamiasz przez Wykonaj skrypt.

 

2. Prezentujesz log powstały z usuwania OTL + nowy zrobiony już po.

 

 

 

.

[3MOON]

Zrobione

Zauważyłem przy okazji, że wyleciał Tango z dodaj usuń programy, którego nie mogłem wcześniej odinstalować.

07082010_191830.txt

OTL.Txt

[picasso]

Wszystko się wykonało. Finałowo log prezentuje dobrą kondycję.

 

1. W OTL wywołaj funkcję Sprzątanie.

 

2. Dokonaj aktualizacji Adobe Reader: INSTRUKCJE. Office też masz bardzo stary, o ile to możliwe, zamień na nowszy. Jest także nowsza wersja K-Lite.

 

PS. Gadu 10, może Cię zainteresuje WTW jako skromna i szybka alternatywa bez reklam, ale z pełnym wsparciem protokołowym Gadu.

 

Zauważyłem przy okazji, że wyleciał Tango z dodaj usuń programy, którego nie mogłem wcześniej odinstalować.

 

Za to odpowiadał ten wpis w skrypcie:

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4A4B8842-B291-4740-B866-899EF5F2C356}] 

 

 

.

[3MOON]

Wszystko już działa jak powinno więc jak zwykle SZACUN. Temat oczywiście zamykamy.