Brak możliwości pobrania jakiegokolwiek programu antywirusowego

[gl86]

Witam, mam nadzieje że uzyskam pomoc. Otóż próbuję pobrać oprogramowanie antywirusowe w momencie klikniecia na link do pobrania programu antywirusowego przeglądarka komunikuje o błedzie: " Nie odnaleziono serwera Firefox nie może odnaleźć serwera www.avast.com.

Sprawdź, czy adres nie zawiera literówek jak np.

ww.example.com zamiast

www.example.com

Jeśli nie można otworzyć żadnej strony, należy sprawdzić swoje połączenie sieciowe.

Jeśli ten komputer jest chroniony przez zaporę sieciową lub serwer proxy, należy sprawdzić, czy program Firefox jest uprawniony do łączenia się z Internetem."

 

Sprawa dotyczy wszystkich stron z dostępnymi do pobrania antywirusami. Ponadto przed wykonaniem skanu za pomocą OTL wykonałem czyszczenie rejestru sytemu za pomocą programu Ccleaner i przeprowadziłem defragmentację dysku. Wykonałem również skan za pomocą mks vir poprzez przeglądarkę IE, ale nie skopiowałem wyników skanu ponieważ jeszcze wtedy nie trafiłem na forum i nie miałem pojęcia, że te informacje bedą znaczące. Pamiętam, że wykrył kilkanaście zainfekowanych plików z czego usunął tylko trzy pozostałe nie zostały usunięte z komunikatem: nie można usunąć pliku". W załączniku wymagane pliki z logami: Liczę na pomoc pozdrawiam.

Extras.Txt

OTL.Txt

[picasso]

1. To nie jest pełny zestaw logów, obowiązkowy jest GMER. Przed uruchomieniem programu należy usunąć przeszkodę w postaci sterownika DAEMON Tools:

 

DRV - [2011-09-27 20:44:31 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

Czyli wykonaj instrukcje z ogłoszenia: KLIK. Po deinstalacji DAEMON Tools + sterownika SPTD narzędziem SPTDinst zresetuj system i uruchom GMER.

 

2. Na razie w logu z OTL nie widać czynnej blokady, są tylko odpadki po robakach (wpisy puste / autoryzacje w zaporze / mapowanie dysków w Mountpoints2):

 

O4 - HKLM..\Run: [Windows Service Agent] agl23s.exe File not found
O4 - HKU\S-1-5-21-329068152-796845957-682003330-500..\Run: [Windows Service Agent] agl23s.exe File not found
O4 - HKLM..\RunServices: [Windows Service Agent] agl23s.exe File not found
 
O33 - MountPoints2\{f44ad59a-b1e9-11e0-8767-001e101fae32}\Shell\AutoRun\command - "" = OBJESI\\sise.exe
O33 - MountPoints2\{f44ad59a-b1e9-11e0-8767-001e101fae32}\Shell\explore\command - "" = OBJESI\\sise.exe
O33 - MountPoints2\{f44ad59a-b1e9-11e0-8767-001e101fae32}\Shell\Install\command - "" = OBJESI\\sise.exe
O33 - MountPoints2\{f44ad59a-b1e9-11e0-8767-001e101fae32}\Shell\open\command - "" = OBJESI\\sise.exe
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\usb_driver.com" = F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\usb_driver.com:*:Enabled:Windows Services
"C:\WINDOWS\system32\agl23s.exe" = C:\WINDOWS\system32\agl23s.exe:*:Disabled:agl23s

 

Te wpisy nie mogą być odpowiedzialne za aktualny stan rzeczy. Dlatego jest istotne zrobić diagnostykę pod kątem obecności infekcji rootkit.

 

3. Infekcje mają tu znakomity grunt do działania, krytyczny poziom aktualizacji Windows:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

 

"Zabezpieczenia" z roku ... 2004 (!), kompletne sito, odcięcie od wsparcia i bieżących aktualizacji MS (aktualnie tylko XP SP3 jest systemem, który może korzystać z Windows Update). Obowiązkowo będzie tu wykonywana instalacja pakietu SP3 + IE8 + wszystkich łat wydanych po (SP3 został wydany w 2008, od tego czasu jest bardzo dużo do nadrobienia). Bez tego leczenie może być nieskuteczne.

 

 

Wykonałem również skan za pomocą mks vir poprzez przeglądarkę IE

 

Skaner ten jest zbyt mało wiarygodny dla mnie. Od dawna ledwo zipie.

 

 

 

.

[gl86]

Wykonałem zalecone czynności. W załączniku log z GMER. W trakcie skanowania nie pojawił się żaden komunikat dotyczący rootkit.

GMER.txt

[picasso]

W trakcie skanowania nie pojawił się żaden komunikat dotyczący rootkit.

 

Ale infekcja rootkit jest. GMER notuje ukryty wpis startowy (i podejrzane hooki w User code sections):

 

---- Registry - GMER 1.0.15 ----
 
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Run@Kfkgkq             C:\Documents and Settings\Administrator\Dane aplikacji\Kfkgkq.exe
 
---- Files - GMER 1.0.15 ----
 
File            C:\Documents and Settings\Administrator\Dane aplikacji\Kfkgkq.exe            146258 bytes executable

 

Ten rodzaj infekcji już tu był, objawił się zaraz po zainstalowaniu XP po formacie (SP3 był nałożony za późno). Tu jest po prostu wymagana kompleksowa aktualizacja Windows, bo usuwanie może być nieskuteczne (nawroty sieciowe).

 

 

---

1. Wstępnie nałóż blokadę na transport robaków z sieci w postaci Windows Worms Doors Cleaner.

 

2. Do usuwania ukrytego obiektu zostanie tu wykorzystany BlitzBlank. Kieruję do tego opisu, byś wiedział jak wygląda narzędzie, ale go stamtąd nie pobierzesz. Infekcja blokuje pobieranie z serwerów antymalware, dlatego plik jest przehostowany na serwer tymczasowy: KLIK. Uruchom program i w karcie Script wklej:

 

DeleteFile:
"C:\Documents and Settings\Administrator\Dane aplikacji\Kfkgkq.exe"
 
DeleteRegValue: 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Kfkgkq

 

Klik w Execute Now. Zatwierdź restart komputera. Na dysku C pojawi się log z usuwania.

 

3. Następnie usunięcie wpisów odpadków wcześniej punktowanych oraz czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

O4 - HKLM..\Run: [Windows Service Agent] agl23s.exe File not found
O4 - HKU\S-1-5-21-329068152-796845957-682003330-500..\Run: [Windows Service Agent] agl23s.exe File not found
O4 - HKLM..\RunServices: [Windows Service Agent] agl23s.exe File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\usb_driver.com"=-
"C:\WINDOWS\system32\agl23s.exe"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptyflash]
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Po restarcie automatycznie powinien otworzyć się log z wynikami.

 

4. Wykonaj do oceny nowe logi z OTL (Extras już nie potrzebuję) oraz GMER. Dołącz także logi z usuwania wykonanego w BlitzBlank i OTL.

 

 

 

 

.

[gl86]

Wykonałem wszystko. W załącznikach logi: Nie mogłem dodać pozostałych logów za względu na brak uprawnień więc wklejam:

 

BlitzBlank 1.0.0.32

 

File/Registry Modification Engine native application

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\administrator\dane aplikacji\kfkgkq.exe", destinationFile = "(null)", replaceWithDummy = 0

DeleteRegistryValueOnReboot: keyName = "\Registry\Machine\hkey_current_user\software\microsoft\windows\currentversion\run", valueName = "kfkgkq", backupFile = "(null)", replaceWithDummy = 0

DeleteRegistryValueByDriver: keyName = "\Registry\Machine\hkey_current_user\software\microsoft\windows\currentversion\run", valueName = "kfkgkq", backupFile = "(null)", replaceWithDummy = 0

 

OTL po wykonaniu skryptu:

 

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Service Agent deleted successfully.

Registry value HKEY_USERS\S-1-5-21-329068152-796845957-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Service Agent deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\\Windows Service Agent deleted successfully.

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\usb_driver.com deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\WINDOWS\system32\agl23s.exe deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: Administrator

->Flash cache emptied: 1708 bytes

 

User: All Users

 

User: Default User

 

User: LocalService

 

User: NetworkService

 

Total Flash Files Cleaned = 0,00 mb

 

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 3065575 bytes

->Temporary Internet Files folder emptied: 378730 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 83876267 bytes

->Flash cache emptied: 0 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 699476 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2114584 bytes

%systemroot%\System32 .tmp files removed: 3870756 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 90,00 mb

 

 

OTL by OldTimer - Version 3.2.29.1 log created on 10112011_131604

 

Files\Folders moved on Reboot...

 

Registry entries deleted on Reboot...

 

Czekam na dalsze instrukcje.

OTL.Txt

GMER2.txt

[picasso]

Nie mogłem dodać pozostałych logów za względu na brak uprawnień

 

W zasadach działu jest napisane, że w Załącznikach wchodzi tylko rozszerzenie *.TXT.

 

 

Znaczna poprawa. Po usunięciu ukrytego wpisu ustąpiły wszystkie hooki widzialne uprzednio w GMER. W logu z OTL też nie widzę nic czynnego, został już tylko pusty wpis po tym ukrytym pliku (nie wiem dlaczego BlitzBlank go nie zlikwidował, mimo że jego log twierdzi coś przeciwnego). Strony pobierania programów antymalware powinny już działać. Kolejny etap do wykonania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-329068152-796845957-682003330-500..\Run: [Kfkgkq] C:\Documents and Settings\Administrator\Dane aplikacji\Kfkgkq.exe File not found

 

Klik w Wykonaj skrypt. Tym razem akcja pójdzie błyskawicznie i nie będzie restartu. Po ukończeniu zadania w OTL uruchom Sprzątanie, co zlikwiduje z dysku program OTL oraz jego kwarantannę. Funkcja wymaga restartu.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Wykonaj skanowanie za pomocą Kaspersky Virus Removal Tool. Przedstaw raport, o ile coś zostanie znalezione jako infekcja. Nie interesują mnie wyniki typu OK / Archive / Packed / Password protected i tego mi nie przeklejaj.

 

 

.

[gl86]

Po przeskanowaniu kasperskym nic nie wykryto. W związku z tym rozumiem, że wszystko powinno być ok? Z wcześniejszej wypowiedzi wnioskuję, że należy zainstalować SP3 do windowsa i jakiegoś antywirusa czy oprócz tego wykonać coś jeszcze? I pytanie co z pobranymi programami do wykonywania logów można je bezpiecznie deinstalować czy lepiej pozostawić na wszelki wypadek? A i jeśli mogę to jaki antywirus polecasz?

[picasso]

I pytanie co z pobranymi programami do wykonywania logów można je bezpiecznie deinstalować czy lepiej pozostawić na wszelki wypadek?

 

Opcja Sprzątanie OTL miała adresować usuwanie OTL. Natomiast GMER i BlitzBlank wraz z ich produktami oczywiście możesz usunąć ręcznie. Kaspersky Virus Removal Tool zaś odinstaluj.

 

 

Z wcześniejszej wypowiedzi wnioskuję, że należy zainstalować SP3 do windowsa

 

Otóż to, teraz należy wykonać pełne aktualizacje, nie tylko SP3, ale wszystkie inne krytyczne łaty. Czyli:

- Pobierz pełne instalatory na dysk: Service Pack 3 + Internet Explorer 8. Wdróż instalację. Tak, aktualizacja IE jest istotna, nie ma znaczenia, że używasz innego alternatywnego programu (Firefox). IE to mocno zintegrowany komponent systemowy i może być użyty do szmuglowania zagrożeń w sposób transparentny. Z silnika IE korzystają także różne funkcje systemu oraz programy trzecie. Suma sumarum: z IE nie musisz korzystać, ale musisz go łatać.

- Po zainstalowaniu w/w zaktualizuj Agenta WU, by uniknąć problemu z brakiem detekcji SP3 przez skaner Windows Update: KLIK.

- Następnie uruchom Windows Update i załaduj wszystkie krytyczne łatki. Rundy z wyszukiwaniem + instalacją aktualizacji powtarzaj dopóki nie otrzymasz zwrotu, że już nic nie ma do pobrania.

 

 

A i jeśli mogę to jaki antywirus polecasz?

 

Do tego przejdziemy jak wykonasz podstawowe aktualizacje. Niech antywirus nie przeszkadza temu procesowi.

 

 

.

[gl86]

Wykonałem aktualizację IE8 i zainstalowałem SP3. W przypadku uruchomienia Windows Update poproszono mnie o sprawdzenie oryginalności systemu i tu pojawia się kłopot bowiem mój komputer był wyposażony w oryginalny Windows Vista ale próbowałem przeinstalować Xp z oryginalnej płyty to instalka nie ruszała bo brak było kontrolerów SATA i windows Xp nie chciał się z tej płyty zainstalować więc pożyczyłem od znajomego płytkę z wgranymi już odpowiednimi sterownikami. Co w takim przypadku, bo klucz jest zarejestrowany jako nieoryginalny?

[picasso]

Co w takim przypadku, bo klucz jest zarejestrowany jako nieoryginalny?

 

Na forum nie wolno podawać żadnych metod obchodzenia problemów legalności.

 

 

mój komputer był wyposażony w oryginalny Windows Vista

 

Uważam wymianę Vista na próchno XP za duży błąd. Podsumujmy: legalny bardziej zaawansowany i lepiej zabezpieczony out-of-box system wymieniony na piracki archaiczny i dziurawy (XP nawet po załataniu przedstawia wiele do życzenia). Same problemy, robaki atakują (dowody w tym temacie nie do zbicia), Windows Update zablokowane, a MS wycofuje się ze wsparcia dla tego systemu ....

Twój wybór, ale uważam że należało pokonać złe przyzwyczajenia do "starego dobrego XP" i ogarnąć tę Vista jednak lub postarać się o tani upgrade do Windows 7 (w skrócie: "poprawiona Vista"). Ja też wykonywałam przeskok z XP na Vista i nie było to gładkie, a dziś po prostu sobie nie wyobrażam jak można pracować na tej padaczce XP. Aktualnie siedzę już tylko na Windows 7, a XP mam jedynie w wirtualnej maszynie, do pomocy na forum.

 

 

próbowałem przeinstalować Xp z oryginalnej płyty to instalka nie ruszała bo brak było kontrolerów SATA

 

Popełniłeś typowe niedopatrzenie przy downgrade Vista > XP, nie zainteresowałeś się zawczasu czy instalacja z lamusowej płyty XP ma wszystkie sterowniki. To się dało rozwiązać. Wystarczyło wybrać jedno z tych rozwiązań bez pożyczania lewych produktów od znajomego:

 

- Na czas instalacji w BIOS przestawić tryb pracy kontrolera dysków z SATA/AHCI na "zwyczajne IDE". Po instalacji dołożyć wszystkie sterowniki do chipsetu/kontrolerów.

- Na USB podać rozpakowane sterowniki i F6 podczas instalacji XP.

- Zrobić na podstawie własnej oryginalnej CD XP nową ze zintegrowany sterownikami, która automatycznie zamontuje wszystko. Darmowy program integrujący sterowniki (przy okazji i SP i inne rzeczy): nLite.

 

 

Ja nie mogę tu udostępnić żadnej metody złamania problemu WGA, uważam też, że nie warto. Operacje na nielegalnym systemie mają krótkie nogi, a system taki stanowczo zbyt łatwo zdemaskować. Mówisz wyraźnie, że masz oryginał XP, który jak widać się ostro marnuje. Proponuję wykonać reinstalację Windows za pomocą oryginalnej płyty. Tzn. jej kopii ze zintegrowanym SP3 / IE8 oraz sterami kontrolerów.

 

 

 

.

[gl86]

Oczywiście masz rację. Ale w moim BIOSie nie mogłem odnaleźć możliwości zmiany o której wspominasz.

Na czas instalacji w BIOS przestawić tryb pracy kontrolera dysków z SATA/AHCI na "zwyczajne IDE"

Po prostu nie ma tej opcji. W związku z tym albo spróbuję przeinstalować windowsa z oryginalnej płytki, albo powrócić do Visty jeśli będzie taka mozliwość, bo z tego co pamiętam była na ukrytej partycji dysku C.

Tak czy inaczej bardzo dziękuję za pomoc. Pozdrawiam.

[picasso]

w moim BIOSie nie mogłem odnaleźć możliwości zmiany o której wspominasz.

 

Jest to możliwe, jeśli jakiś skrojony BIOS. Na wszelki wypadek podaj jednak model kompa i BIOS.

 

 

spróbuję przeinstalować windowsa z oryginalnej płytki

 

Widzę w logu Intel, to sterowniki do trybu tekstowego instalacji pozyskasz tym sposobem: KLIK (ustęp Intel Matrix Storage Manager i jak go rozbić do postaci pierwszej).

 

 

albo powrócić do Visty jeśli będzie taka mozliwość, bo z tego co pamiętam była na ukrytej partycji dysku C.

 

To może być teraz utrudnione .... Instalowałeś XP, co jest równoznaczne z nadpisaniem MBR. Ta akcja zwykle powoduje utratę właściwości zrzucania Recovery przez klawisz firmowy. W takiej sytuacji należy: zbootować z jakiegoś menedżera partycji (np. darmowy GParted LiveCD), ustawić partycję Recovery jako aktywną (w GParted inna nomenklatura = flaga Boot), a restart spowoduje boot Recovery i powinien się pojawić dialog odzyskiwania, zaś po akcji Recovery z powrotem odaktywnić.

 

 

 

.

[gl86]

Jeśli chodzi o model kompa to jest to Toshiba satellite a 200 1zb a co do Biosu to w rejestrze znajduje się wpis: TOSCPL-6040000 ver1.00PARTTBL Nie wiem czy o to Ci chodziło? A wracając do Visty co musiałbym wykonać bo w sumie z tym kompem to mam same przeboje i dlatego pomyślałem o XP bo przeinstalowałem go dopiero po roku od zakupu z uwagi na fakt, że często mi się sam wylączał a temperatura procesora oscylowała w okolicach 90 stopni jak chodził na Viście po przeinstalowaniu na XP jest lepiej bo sam się nie wyłącza no chyba że odpalam grę np Wiedźmin to potrafi juz po kilku minutach się wyłączyć. I oddawałem go do serwisu ale tam niczego nie stwierdzili. Poza tym po pewnym czasie od zakupu i przed instalką XP bardzo często pojawiał się Blue Screen. Podejrzewam, że dysk może być uszkodzony i mieć jakieś bad sektory? Co o tym myślisz. Ja aż tak super się nie znam a defacto jest to pierwszy temat na jakimkolwiek forum w sprawie mojego kompa. A dodam jeszcze że posiadam płytę o nazwie Toshiba product recovery disc.

[picasso]

Jeśli chodzi o model kompa to jest to Toshiba satellite a 200 1zb

 

Nie mogę wyszukać żadnej jasnej specyfikacji, ale jest możliwe, że to ogołocony BIOS i nie ma tam po prostu tego. Czyli zostaje rozbicie sterów Intel i albo albo: podstawić na USB i F6 lub zintegrować je z płytą CD XP.

 

 

przeinstalowałem go dopiero po roku od zakupu z uwagi na fakt, że często mi się sam wylączał a temperatura procesora oscylowała w okolicach 90 stopni jak chodził na Viście po przeinstalowaniu na XP jest lepiej bo sam się nie wyłącza no chyba że odpalam grę np Wiedźmin to potrafi juz po kilku minutach się wyłączyć. I oddawałem go do serwisu ale tam niczego nie stwierdzili. Poza tym po pewnym czasie od zakupu i przed instalką XP bardzo często pojawiał się Blue Screen. Podejrzewam, że dysk może być uszkodzony i mieć jakieś bad sektory? Co o tym myślisz.

 

Wątpię, by problem leżał po stronie systemowej, gdy następuje przeskok pewnych zachowań między tak różnymi systemami. Na XP może to być mniej widoczne, gdyż środowisko jest mniej rozwinięte, ale jednak wyraźnie mówisz, że Wiedźmin siada. Oczywistym podejrzeniem jest sprzęt, nie wiadomo też jaka diagnostyka była prowadzona w serwisie, czy był testowany pod dostatecznym obciążeniem, by ujawnić defekt. No i czy go czyszczono w środku? Problem wyłączania gry kojarzy się z przegrzewaniem / słabym zasilaniem / wadą karty graficznej, ale to takie luźne przypuszczanie na oko. Tu przykład z forum: KLIK.

 

Tu jest dział Malware. Do tego problemu załóż nowy temat w dziale Hardware, podając wszystkie wymagane ogłoszeniem dane: KLIK (w tym log z HWinfo32 z wykazem czujników).

 

 

 

.

Edytowane 10 Grudnia 2011 przez picasso
10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso