Alfik91 Opublikowano 11 Listopada 2011 Zgłoś Udostępnij Opublikowano 11 Listopada 2011 Witam. Mój problem polega na tym, że komputer od czasu do czasu samoczynnie restartuje się i przechodzi w tryb awaryjny. Prócz tego przeglądarka (Firefox) czasem nie przenosi mnie na wpisywany adres tylko na zupełnie inną stronę, prawdopodobnie SPAM. Dodatkowo cały system nie pracuje prawidłowo. Przy włączeniu ESET Nod 32 pojawia się czerwona ramka z komunikatem "Virus Enhanced Protection Mode". Po wyinstalowaniu ESET ta sama sytuacja powtórzyła się przy próbie włączenia AVAST'a - nie mogę skorzystać z obydwu programów pod żadnym kątem skanowania czy sprawdzenia dysków. Jedynym "działającym" programem tego typu jest Windows Defender przy czym znajduje obydwa wymienione w temacie pliki i każe je usunąć, jednak po usunięciu i ponownym uruchomieniu sytuacja powtarza się i tak cały czas. Bardzo proszę o pomoc ponieważ nie chcę formatować mojego sprzętu, ale też nie chcę go narażać na jakieś uszkodzenie, ani siebie na wyciek osobistych danych. Pierwszy raz mam do czynienia z takim typem wirusa, którego nie mogę usunąć i który totalnie wprowadza zamęt w moim sprzęcie. Starałem się pomóc sobie programami typu ESET Sirefef Remover itp, niestety bez skutku. To raz program się nie uruchamiał, to raz wyskakiwał error albo po prostu przy skanowaniu nic nie znajdywało. Nie uruchamiałem programu Combofix, bo nie mam o tym pojęcia, a jak powiedziałem - nie chcę uszkodzić sprzętu. Z góry dziękuję za pomoc i proszę o wyrozumiałość. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2011 Zgłoś Udostępnij Opublikowano 12 Listopada 2011 Mamy skomasowanie dwóch infekcji, w tym trojan ZeroAccess. Liga takiego rzędu, że należy sięgnąć po radykalne narzędzie: Starałem się pomóc sobie programami typu ESET Sirefef Remover itp, niestety bez skutku. To raz program się nie uruchamiał, to raz wyskakiwał error albo po prostu przy skanowaniu nic nie znajdywało. Nie uruchamiałem programu Combofix, bo nie mam o tym pojęcia, a jak powiedziałem - nie chcę uszkodzić sprzętu. ESET Sirefef Remover nie jest przeznaczony na Twoją platformę, masz 64-bitowy system, a na takim ZeroAccess działa inaczej i narzędzie ESET tego nie adresuje. Tu należy zastosować właśnie ComboFix, który umie sobie radzić z infekcją ZeroAccess na x64. Czyli oczekuję, że pobierzesz + uruchomisz zgodnie ze wskazówkami ComboFix i przedstawisz raport z jego działania. ComboFix i tak nie załatwi wszystkiego i będzie wymagana conajmniej ręczna korekta łańcucha Winsock, ale te instrukcje otrzymasz dopiero po sprawdzeniu ile narzędzie przeprowadziło. . Odnośnik do komentarza
Alfik91 Opublikowano 12 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2011 Teraz pojawił się problem innej natury. Zgodnie z instrukcją wyinstalowałem program emulujący napęd - w moim przypadku był to Daemon Tools Lite. Jednak w poradniku dotyczącym usunięcia programu zatrzymuję się na punkcie pierwszym ponieważ po deinstalacji samego programu ściągnąłem najnowszy instalator SPTD i podczas uruchomienia go nie jest dostępna opcja "Uninstall" tylko "Install" lub "Cancel". Do tego niżej dochodzi podpis "No SPTD version was detected". Nie mam możliwości wyinstalowania. To samo dotyczy klucza w regedit, który mam usunąć, a którego najzwyczajniej w świecie nie ma. Sprawdzałem po trzy razy czy dobrze wszedłem w folder itd. Niestety po folderze z kluczem SPTD śladu brak. Co w takim wypadku robić ? Ah i zapomniałem powiedzieć, że log, który podałem najpierw był robiony jeszcze z zainstalowanym Daemonem... Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2011 Zgłoś Udostępnij Opublikowano 12 Listopada 2011 Nie dotyczy Cię w ogóle operacja z SPTD, taki obiekt u Ciebie nie istnieje. Miałeś wersję aplikacji posługującą się innym sterownikiem (dtsoftbus01), który akurat powinien zniknąć samoczynnie przy deinstalacji: DRV:64bit: - [2011-08-11 14:37:48 | 000,270,912 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\dtsoftbus01.sys -- (dtsoftbus01) Przejdź do uruchomienia ComboFix. . Odnośnik do komentarza
Alfik91 Opublikowano 12 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2011 Combofix zakończył działanie i wygenerował log, jednak przed jego startem użyłem niechcący Windows Defender'a do usunięcia tych dwóch plików z tematu.. Uruchomić go jeszcze raz czy nie ? ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2011 Zgłoś Udostępnij Opublikowano 12 Listopada 2011 Nic dodatkowo nie uruchamiaj, tu jest określona sekwencja działań wdrażana. ComboFix poradził sobie z większością obiektów (w tym ładnie uziemił ZeroAccess), ale nie wszystko zostało usunięte. Plus mamy jeszcze do resetu preferencje przeglądarek przejęte przez startsear.ch (prawdopodobnie skutek montażu wątpliwej reputacją wtyczki vShare). 1. Poprawka. Otwórz Notatnik i wklej w nim: Folder:: c:\windows\av_ico c:\windows\ufa c:\windows\update.tray-3-0 c:\windows\update.tray-3-0-lnk c:\windows\update.tray-7-0 c:\windows\update.tray-7-0-lnk File:: C:\Users\Alfik\AppData\Roaming\Mozilla\Firefox\Profiles\t5j5pd91.default\searchplugins\startsear.xml c:\windows\unrar.exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "tray_ico0"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] "SearchAssistant"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=dword:00000001 Firefox:: FF - ProfilePath - c:\users\Alfik\AppData\Roaming\Mozilla\Firefox\Profiles\t5j5pd91.default\ FF - prefs.js: keyword.URL - hxxp://startsear.ch/?aff=1&q= Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. 2. Rekonstrukcja fabrycznego łańcucha Winsock: -----> Reset części Protocol: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę netsh winsock reset -----> Reset części NameSpace: Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000020 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG. Zresetuj system. 3. Przejdź do apletu deinstalacji programów i usuń: facemoods Toolbar + vShare.tv plugin 1.3. Następnie powtórz usuwanie tego w Firefox w rozszerzeniach oraz w Google Chrome w rozszerzeniach i wtyczkach. 4. Wygeneruj nowe logi: z OTL opcją Skanuj (Extras już nie potrzebuję) + AD-Remover z opcji Scan. Przedstaw również raport uzyskany z ComboFix w punkcie 1. . Odnośnik do komentarza
Alfik91 Opublikowano 12 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2011 Wszystkie logi załączone. Proszę teraz o ostatnie porady i diagnozę co do obecnej sytuacji komputera Wszystkie wymienione polecenia wykonałem i zastanawiam się nad antywirusem i innymi programami, które nie dopuszczą ponownie do takich sytuacji. OTL.Txt Ad-Report-SCAN1.txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2011 Zgłoś Udostępnij Opublikowano 12 Listopada 2011 Tu jeszcze nie koniec działań i nie takie "ostatnie" porady, a o zabezpieczeniach pogadamy na szarym końcu. Akcje w toku: 1. Google Chrome nadal ma ustawioną tę podejrzaną wyszukiwarkę: CHR - default_search_provider: Web Search (Enabled)CHR - default_search_provider: search_url = "http://startsear.ch/?aff=1&src=sp&cf=a0621a61-e6d7-11e0-ac1a-74f06dcfdfdd&q={searchTerms}" Skrypty OTL nie mogą ingerować w domyślnego dostawcę wyszukiwania w Chrome. Należy wejść do Opcji do zarządzania wyszukiwarkami, przestawić domyślną wyszukiwarkę na np. Google a "Web Search" kierujące do startsear.ch usunąć definitywnie z listy. 2. Poprawka adresująca szczątki śmieci (w Firefox / Google Chrome / IE), resztówki Avast oraz włączenie UAC systemowego (za późno doedytowałam skrypt do ComboFix i przetworzyłeś bez tego). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AC435205-BBCC-4C0A-B3F8-7DF7D9D9143C}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=dword:00000001 :OTL CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\Alfik\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\wrc@avast.com: C:\Program Files\AVAST Software\Avast\WebRep\FF O2:64bit: - BHO: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O3:64bit: - HKLM\..\Toolbar: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found [2010-11-29 11:26:24 | 000,002,037 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchpiano.xml [2011-07-27 18:14:55 | 000,002,023 | ---- | M] () -- C:\Users\Alfik\AppData\Roaming\Mozilla\Firefox\Profiles\t5j5pd91.default\searchplugins\badoo.xml [2011-11-11 21:23:24 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\avast! Free Antivirus [2011-11-11 21:07:25 | 000,301,912 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\aswSP.sys [2011-11-11 21:07:25 | 000,024,408 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\aswFsBlk.sys [2011-11-11 21:07:24 | 000,042,328 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\aswRdr.sys [2011-11-11 21:07:23 | 000,601,944 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\aswSnx.sys [2011-11-11 21:07:23 | 000,065,368 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\aswMonFlt.sys [2011-11-11 21:07:23 | 000,058,200 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\aswTdi.sys [2011-11-11 21:07:16 | 000,199,304 | ---- | C] (AVAST Software) -- C:\Windows\SysWow64\aswBoot.exe [2011-11-11 21:07:16 | 000,041,184 | ---- | C] (AVAST Software) -- C:\Windows\avastSS.scr :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Prócz Avast, są widoczne ślady ESET: DRV:64bit: - [2010-12-21 14:04:06 | 000,170,640 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\eamonm.sys -- (eamonm)DRV:64bit: - [2010-12-21 14:04:06 | 000,141,264 | ---- | M] (ESET) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\ehdrv.sys -- (ehdrv)DRV:64bit: - [2010-12-21 12:47:38 | 000,170,640 | ---- | M] (ESET) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\epfw.sys -- (epfw)DRV:64bit: - [2010-12-21 12:47:38 | 000,050,624 | ---- | M] (ESET) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\epfwwfp.sys -- (epfwwfp) Z poziomu Trybu awaryjnego Windows zastosuj dedykowane narzędzie producenta: ESET Uninstaller. 4. Wygeneruj do oceny (mam nadzieję, że ostatni) log z OTL z opcji Skanuj. Przedstaw także log z wynikami usuwania OTL pozyskany w punkcie 2. . Odnośnik do komentarza
Alfik91 Opublikowano 12 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2011 Obydwa logi + log z ESETUninstaller. Co ciekawe log z usuwania przez OTL i log z ESETUninstaller musiałem skopiować do nowego pliku notatnika, ponieważ gdy chciałem wrzucić je do odpowiedzi to wyskakiwała mi informacja: "Nie masz uprawnień do wysyłania tego typu plików" - trochę dziwne. OTL.Txt ~ESETUninstaller.txt 11122011_174729.txt Odnośnik do komentarza
Alfik91 Opublikowano 12 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2011 Hmm.. wiem, że to może nie dotyczyć tematu, ale teraz po tych wszystkich operacjach przestała działać mi FIFA 12 - pojawia się błąd. Do tego na środku pulpitu pojawia się mały, biały kwadracik. Był on już wczoraj odkąd zaczęły się problemy z wirusem. Wcześniej nie zauważyłem by się pojawiał. Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2011 Zgłoś Udostępnij Opublikowano 12 Listopada 2011 Co ciekawe log z usuwania przez OTL i log z ESETUninstaller musiałem skopiować do nowego pliku notatnika, ponieważ gdy chciałem wrzucić je do odpowiedzi to wyskakiwała mi informacja: "Nie masz uprawnień do wysyłania tego typu plików" - trochę dziwne. Jest wyraźnie napisane w zasadach działu (oraz Pomocy forum), że dopuszczam na forum w Załącznikach tylko pliki o rozszerzeniu *.TXT. Aplikacje wygenerowały *.LOG i to nie wejdzie, o ile nie zmienisz nazwy rozszerzenia. Prawie wszystko się wykonało, a prawie, bo nie puściły pluginy vShare w Google Chrome oraz w Firefox rozszerzenie Avasta: CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\Alfik\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dllCHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dllFF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\wrc@avast.com: C:\Program Files\AVAST Software\Avast\WebRep\FF 1. Korekta powyższego. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej co poniżej, klik w Wykonaj skrypt. :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions] "wrc@avast.com"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj] OTL wprawdzie nie widział na dysku plików, ale upewnij się, że tego nie ma: C:\Users\Alfik\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll 2. Prawidłowa deinstalacja ComboFix czyszcząca także foldery Przywracania systemu. Z klawiatury wywołaj kombinację klawisz z flagą Windows + R i w Uruchom wklej: E:\Desktop\ComboFix.exe /uninstall 3. W OTL uruchom Sprzątanie, co z kolei skasuje bezśladowo z dysku kwarantannę OTL wraz z programem. 4. Wykonaj pełne skanowanie za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera ustaw przetwarzanie wszystkich obszarów. O ile jakieś zagrożenie zostanie znalezione, przeklej ten wynik (pomiń wszystko z oznaczeniem OK/Archive/Packed/Password Protected). PS. Nawiasem mówiąc, radzę się trzymać z dala od vShare (tak, wiem że to pokłosie meczyków), skoro takie sztuki czyni z gwałtem preferencji. Błąd zaś popełniony podczas instalacji, gdyż należało opuścić "recommended" i w opcjach poodznaczać śmietnisko: . Odnośnik do komentarza
Alfik91 Opublikowano 12 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2011 Ok, właśnie ściągam Kaspersky po dokonaniu wcześniej wyżej wymienionych czynności. Mam rozumieć, że to już wszystko i że komputer jest wolny od wirusów ? Jakie oprogramowanie w wersji FULL i najlepiej FREE mogę zainstalować by nie bać się o ponowne ataki tego typu ? Proszę o małą pomoc z tą FIFĄ chodzi mi tylko z czym to może być związane. Może jakiś plik DirectX został usunięty przypadkowo czy coś w tym stylu. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2011 Zgłoś Udostępnij Opublikowano 13 Listopada 2011 Ja czekam na wyniki skanu w Kasperskym, które mogą zmienić sytuację, ponieważ wcale nie jest pewne czy system jest wyczyszczony. Nie przejdę dalej, dopóki system nie zostanie sprawdzony dogłębnie skanerem. By uprzedzić po raz trzeci pytanie o zabezpieczenia, tu jeszcze będzie prowadzona weryfikacja poprawności plików, wymiana haseł .... Tak, że roboty tu jeszcze są. . Odnośnik do komentarza
Alfik91 Opublikowano 13 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2011 Nie wiem czy zrobiłem coś źle, ale log z Kaspersky'ego w txt ma 183mb ;O jest to możliwe i w ogóle mam to wrzucać czy może coś źle zrobiłem ? Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2011 Zgłoś Udostępnij Opublikowano 13 Listopada 2011 Nie wiem czy zrobiłem coś źle, ale log z Kaspersky'ego w txt ma 183mb vs. O ile jakieś zagrożenie zostanie znalezione, przeklej ten wynik (pomiń wszystko z oznaczeniem OK/Archive/Packed/Password Protected). Czyli interesują mnie tylko te wyniki, które wskazują na jakąś infekcję. Pytam: są takie? . Odnośnik do komentarza
Alfik91 Opublikowano 14 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 14 Listopada 2011 Przewertowałem od góry w dół dwa razy tą listę i prócz wymienionych wyżej dopisków, nie zauważyłem żadnego innego, który by brzmiał inaczej. Odnośnik do komentarza
picasso Opublikowano 14 Listopada 2011 Zgłoś Udostępnij Opublikowano 14 Listopada 2011 W związku z tym skaner Kasperskiego możesz już odinstalować. Kolejne zadanie, czyli weryfikacja poprawności plików systemowych. Uruchom komendę sfc /scannow i przefiltruj CBS.LOG do wystąpień znaczników [sR]: KLIK. Odnośnik do komentarza
Alfik91 Opublikowano 14 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 14 Listopada 2011 Wydaje mi się, że wszystko jest poprawnie, ale na wszelki wypadek umieszczam log - niewielki Mimo tych wszystkich wysiłków, coraz bardziej zaczynam myśleć o kompletnym formacie dysku C, najpierw te problemy z grą, a teraz nie mogę uruchomić żadnego pliku mutlimedialnego w Windows Media Player - pojawia się komunikat ze ścieżką pliku, który chcę otworzyć i pod tym informacja: "Wykonanie serwera nie powiodło się". Nie wiem już co się dzieje z tym komputerem, chociaż przyznaję, że po usunięciu tego syfu, laptop odzyskał swoją początkową stabilność, to jednak pojawiają się te, być może błahe, ale dla mnie znaczące usterki. Pojawiło mi się sporo aktualizacji od Microsoftu - Windows Update. Dziewięć ważnych i cztery opcjonalne. Dokonać upgrade'u czy jeszcze nie ? sfc.txt Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2011 Zgłoś Udostępnij Opublikowano 15 Listopada 2011 SFC nie wykrył żadnych naruszeń. Mimo tych wszystkich wysiłków, coraz bardziej zaczynam myśleć o kompletnym formacie dysku C Jesteśmy już tak daleko, że nie warto tego robić, a może się jeszcze okazać, że po formacie uzyskasz dokładnie ten sam błąd FIFA (gdyż nie jest jeszcze zdiagnozowane w czym leży problem). wiem, że to może nie dotyczyć tematu, ale teraz po tych wszystkich operacjach przestała działać mi FIFA 12 - pojawia się błąd. Szczerze wątpię, że to ma związek z infekcją i jej skutkami. Może (sugerując się "Microsoft.DirectX.Direct3DX, Version=1.0.2902.0" na komunikacie) spróbuj zaktualizować swoje DirectX 9 Runtime: KLIK. Ponadto, zadbaj o aktualizacje Windows: Pojawiło mi się sporo aktualizacji od Microsoftu - Windows Update. Dziewięć ważnych i cztery opcjonalne. Dokonać upgrade'u czy jeszcze nie ? Tak. I po instalacji ponownie sprawdź Windows Update, czy nie pojawiły się kolejne łatki. Instalacja określonej łaty może przetasować zestaw kolejnych podsuwanych aktualizacji. Rundy z wyszukiwaniem powtarzaj do skutku, dopóki nie uzyskasz zwrotu "zero znalezionych". Do tego na środku pulpitu pojawia się mały, biały kwadracik. Był on już wczoraj odkąd zaczęły się problemy z wirusem. Rozumiem, że to nadal występuje? nie mogę uruchomić żadnego pliku mutlimedialnego w Windows Media Player - pojawia się komunikat ze ścieżką pliku, który chcę otworzyć i pod tym informacja: "Wykonanie serwera nie powiodło się" 1. Wstępnie popatrz jaki jest status usługi związanej z WMP. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj Usługę udostępniania w sieci Windows Media Player. Typ uruchomienia powinien być ustawiony na "Automatycznie (opóźnione uruchomienie), a usługa w stanie "Uruchomiono". Jeśli tak nie jest, ustaw co należy i z prawokliku wywołaj opcję "Uruchom ponownie". 2. Jeśli powyższe nie okaże się powiązane, zastosuj narzędzie Fix WMP Utility + restart systemu. . Odnośnik do komentarza
Alfik91 Opublikowano 15 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2011 Więc tak: ten kwadracik zniknął, jednak inne problemy nie, wręcz przeciwnie, doszedł nowy i to związany z funkcją Windows Update. Nie mogę w ogóle uruchomić pobierania aktualizacji, ponieważ co chwilę wyskakuje błąd "802466008". Poczytałem od razu na internecie o tym, między innymi na stronie Microsoftu (http://windows.microsoft.com/pl-PL/windows-vista/Windows-Update-error-80246008) jednak w usługach na moim komputerze nawet nie ma takiej rzeczy jak "Usługa inteligentnego transferu w tle (BITS)". Zajrzałem za to do rejestru i klucz jednak istnieje, więc teraz to już sam nie wiem. Nie mam pojęcia co teraz się dzieje z tymi wszystkimi usługami w komputerze. Co do WMP zastosowałem się do porad i oczywiście bez skutku - nadal wyskakuje to samo. A DirectX'a nie mogę zaktualizować bo pojawia się informacja, że składnik jest aktualny lub taki sam i nie jest wymagana instalacja. Boję się, że są to sytuacje wynikające z krótkiej, ale jednak wizyty, tego wirusa i że to dopiero początek góry lodowej. Ale ja naprawdę nie chcę robić tego formata. Co w takim razie działamy teraz ? Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2011 Zgłoś Udostępnij Opublikowano 15 Listopada 2011 Nie mogę w ogóle uruchomić pobierania aktualizacji, ponieważ co chwilę wyskakuje błąd "802466008". (...) w usługach na moim komputerze nawet nie ma takiej rzeczy jak "Usługa inteligentnego transferu w tle (BITS)". Zajrzałem za to do rejestru i klucz jednak istnieje, więc teraz to już sam nie wiem. Sama obeność klucza o niczym nie świadczy, to na ile jest kompletny jest istotne. Ogólnie podaj spis usług w systemie. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, z wyjątkiem opcji Usługi ustawionej na Wszystko, klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw log wynikowy. . Odnośnik do komentarza
Alfik91 Opublikowano 15 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2011 Skan z OTL. Zapomniałem dodać we wcześniejszym poście, że aplikacja FixWMP również nie pomogła. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2011 Zgłoś Udostępnij Opublikowano 15 Listopada 2011 Nie wygląda na to, by klucz BITS był kompletny, w ogóle OTL nie widzi takiej usługi (co się zgadza w 100% z tym, że nie możesz jej wyłowić w services.msc) .... Rekonstrukcja: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:0000086c "Last Counter"=dword:0000087c "First Help"=dword:0000086d "Last Help"=dword:0000087d "Object List"="2156" "PerfMMFileName"="Global\\MMF_BITS_s" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG. 2. Sprawdź czy masz na dysku plik C:\Windows\system32\qmgr.dll. Jeśli nie, stop, nie przechodź dalej tylko mnie o tym poinformuj. Jeśli plik jest, przejdź do: 3. Restart komputera. I zweryfikuj czy działa Windows Update, a przy okazji i WMP (to "Wykonanie serwera nie powiodło się" kto wie czy nie powiązane). . Odnośnik do komentarza
Alfik91 Opublikowano 15 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 15 Listopada 2011 Nie wiem jak Pani to robi, skąd pani wie gdzie, co i jak i jakim sposobem tworzy Pani te wszystkie kody , ale na pewno mogę powiedzieć, że jest Pani swoistego rodzaju cudotwórczynią metody z internetu zawodzą, jednak póki co z tego forum - tego tematu, wszystko się sprawdza. Tak było również w tym wypadku. Po zaimportowaniu rejestru i restarcie mogłem pobrać aktualizacje i bez przeszkód puszczać muzykę. Nieprawdopodobne ! Jakie następne kroki, bo zapewne to jeszcze nie koniec całej operacji.. ? Problem z FIFĄ jednak pozostał pomimo wszystkich aktualizacji, zauważyłem jednak jedną dziwną nieprawidłowość. W katalogu głównym gry jest cały folder z wieloma popakowanymi archiwami DirectX'a w tym jeden instalator. Gdy go uruchomię, to instalują się pliki i mogę włączyć po tym normalnie grę, jednak po ponownym uruchomieniu komputera znowu pojawia się błąd i muszę powtarzać całą operację. Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2011 Zgłoś Udostępnij Opublikowano 17 Listopada 2011 Problem z FIFĄ jednak pozostał pomimo wszystkich aktualizacji, zauważyłem jednak jedną dziwną nieprawidłowość. W katalogu głównym gry jest cały folder z wieloma popakowanymi archiwami DirectX'a w tym jeden instalator. Gdy go uruchomię, to instalują się pliki i mogę włączyć po tym normalnie grę, jednak po ponownym uruchomieniu komputera znowu pojawia się błąd i muszę powtarzać całą operację. To tak jakby sugeruje niezgodność wersji DirectX, między zainstalowaną a poszukiwaną przez grę. Zrób eksperyment: odinstaluj całkowicie DirectX 9 RunTime i zainstaluj tylko DirectX pochodzący z folderu z grą. Rezultaty? PS. Co to tej "Pani", na "Ty" lecimy. . Odnośnik do komentarza
Rekomendowane odpowiedzi