Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wariujący AVAST

Suchy203

Przez Suchy203
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Suchy203

Suchy203

Opublikowano
Opublikowano

Witam.

Laptop starszej znajomej. Był u niej w sobote (chyba) jakiś pan który miał jej 'zresetować' komputer, cokolwiek to znaczy. Wieszał się laptop, niby jakies wirusy. Po 'zresetowaniu' pani mnie poprosiła abym zobaczył co sie dzieje ponieważ od momentu włączenia laptopa Avast co kilkanaście sekund wykrywa zagrożenie które niby usuwa, i tak w kółko. Prosiłbym o sprawdzenie logów.

 

PS. Gmer cos wykrył i przerwał skanowanie (zmieniło się ze stop na szukaj) więc kliknąłem na kopiuj i powstał log, w załączniku. Pozdrawiam.

OTL.Txt

Extras.Txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Po 'zresetowaniu' pani mnie poprosiła abym zobaczył co sie dzieje ponieważ od momentu włączenia laptopa Avast co kilkanaście sekund wykrywa zagrożenie które niby usuwa, i tak w kółko.

 

Nie podałeś wyciągów z dziennika zdarzeń Avast gdzie on to wykrywa (precyzyjne ścieżki dostępu). Natomiast logi potwierdzają ogólnie, że jest tu infekcja przeniesiona przez typ pendrive, klasyczna z pliku autorun.inf. To co notuje GMER jest składnikiem tej infekcji:

 

---- Processes - GMER 1.0.15 ----
 
Library         C:\WINDOWS\system32\mgking0.dll (*** hidden *** ) @ C:\DOCUME~1\Maria\USTAWI~1\Temp\RtkBtMnt.exe [440]         0x10000000                                                                                                             
Library         C:\WINDOWS\system32\mgking0.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1792]         0x10000000

 

Od razu podczas usuwania nałożę w rejestrze blokadę na rozpoznawanie plików autorun.inf, czyli odpowiednik zabezpieczenia Computer Vaccination z Panda USB Vaccine.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
autorun.inf /alldrives
yveqsh93.exe /alldrives
C:\WINDOWS\System32\mgking.exe
C:\WINDOWS\system32\mgking0.dll
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"king_mg"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Wygeneruj nowy log z OTL z opcji Skanuj (zaznacz Ukryj pliki Microsoftu, i już bez Extras) oraz USBFix z opcji Listing. Dołącz log z usuwania OTL wygenerowany na etapie 1.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wstawiłeś nieprawidłowy załącznik. Oszukałeś rozszerzenie zmieniając w nazwie BMP na JPG (to nie konwertuje typu formatu), dlatego miniatura jest czarna. Ja nie bez powodu blokuję tu format BMP, to nieskompresowany potwór, plik waży prawie 2MB, zupełnie niepotrzebnie. Dozwolone typy to JPG, PNG i GIF. Skonwertowałam plik do PNG i dołączyłam, teraz to ledwie ~50KB i prawidłowa miniatura.

 

 

I też mówiłem pani że to od pendrive to powiedziała, że nie podpinała żadnego, więc to pewnie od tege pana.

 

Też tak podejrzewam, że "pomógł". Zadanie pomyślnie wykonane. Nic więcej szkodliwego nie widzę. Kolejne akcje:

 

1. Na wszelki wypadek usuń foldery Koszy z wszystkich dysków. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
rd /s /q C:\RECYCLER /C
rd /s /q D:\$RECYCLE.BIN /C
rd /s /q D:\RECYCLER /C
rd /s /q E:\RECYCLER /C

 

Klik w Wykonaj skrypt. Po tym zastosuj Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do wykonania drobne aktualizacje: KLIK. Konkretnie z listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

 

 

.

Odnośnik do komentarza
Suchy203

Suchy203

Opublikowano
  • Autor
Opublikowano (edytowane)

Wstawiłeś nieprawidłowy załącznik. Oszukałeś rozszerzenie zmieniając w nazwie BMP na JPG (to nie konwertuje typu formatu), dlatego miniatura jest czarna. Ja nie bez powodu blokuję tu format BMP, to nieskompresowany potwór, plik waży prawie 2MB, zupełnie niepotrzebnie. Dozwolone typy to JPG, PNG i GIF. Skonwertowałam plik do PNG i dołączyłam, teraz to ledwie ~50KB i prawidłowa miniatura.

 

Nie chciałem nic oszukiwać. Zrobiłem screena i zapisało jako BMP z ikonką IfranViev (potrzebny ten program jest?) i nie chciało właśnie dodać do posta więc zmieniłem typ na JPG ale dalej pokazywało BMP, więc w końcu zmieniłem w nazwie na JPG i wtedy pojawił się drugi ten sam plik tylko z rozszerzeniem JPG i wtedy mogłem go dodać. Widziałem czarną miniature ale nie wiedziałem, że to problem :)

 

Java zaktualizowana. Mozilla będzie skasowana. Nowego skype pani nie chce. Po kliknięciu w pobieranie Adobe Flash Player trzeba wybrać system, ale tam nie ma XP więc nie wiem co zrobić. A po ściągnięciu Adobe Reader i w czasie instalacji wyskakuje 'nie znaleziono listy czynności' i instalka znika ;/ Mam jeszcze pytanie dotyczące ikonek. Nazwy są podkreślone na niebiesko, jak zmienić żeby były przeźroczyste ? Dziękuję i pozdrawiam.

 

Ahh i teraz widzę, że normalnie sobie klikam na fixitpc.pl ale żadna inna strona nie działa :confused: Nieaktualne, zrestartowałem system i działa :)

Edytowane przez Suchy203
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Zrobiłem screena i zapisało jako BMP z ikonką IfranViev (potrzebny ten program jest?) i nie chciało właśnie dodać do posta więc zmieniłem typ na JPG ale dalej pokazywało BMP, więc w końcu zmieniłem w nazwie na JPG i wtedy pojawił się drugi ten sam plik tylko z rozszerzeniem JPG i wtedy mogłem go dodać.

 

Czyli: format pliku zmienił się w sposób pozorowany, tylko na zasadzie zmiany nazwy. Natomiast "potrzebność" IrfanView: nie mnie to oceniać, użytkownik zainstalował sobie program.

 

 

Po kliknięciu w pobieranie Adobe Flash Player trzeba wybrać system, ale tam nie ma XP więc nie wiem co zrobić.

 

1. Nie rozumiem co widzisz. Strona otworzona w przeglądarce, w której ma być aktualizowany Adobe Flash: klik w "Pobierz" i od razu ściąga się plik, zaś po wybraniu alternatywnego linka "Czy używasz innego systemu operacyjnego lub innej przeglądarki?" pojawia się lista na której XP jak najbardziej jest pod pozycją "Windows 7 (32-bity)/Vista/XP/2008/2003".

 

2. Poza tym, w pierwszej kolejności to Ty masz sprawdzić czy Adobe Flash jest nieaktualny, bo log z OTL nie podaje precyzyjnie wersji. W przyklejonym jest strona, która pozwala w danej przeglądarce sprawdzić wersję.

 

 

A po ściągnięciu Adobe Reader i w czasie instalacji wyskakuje 'nie znaleziono listy czynności' i instalka znika ;/

 

Na początek odinstaluj całkowicie stary Adobe Reader 8. Pobierz ponownie najnowszy instalator i ponów próbę.

 

 

Mam jeszcze pytanie dotyczące ikonek. Nazwy są podkreślone na niebiesko, jak zmienić żeby były przeźroczyste?

 

Z tematu: KLIK.

 

Usuwanie tła etykiet ikon Pulpitu

 

shortcut5.gif vs. shortcut6.gif

 

Opcją dzięki której usuwa się tło ikon Pulpitu jest:

 

Control Panel (Panel sterowania) >>> System >>> Advanced (Zaawansowane) >>> Performance (Wydajność) >>> Settings (Ustawienia)

 

Zaznaczenie: Use drop shadows for icon labels... / Użyj cieni dla etykiet ikon... plus upewnienie się iż jest odznaczone:

 

prawy klik na Pulpit >>> Właściwości >>> Pulpit >>> Dostosuj Pulpit >>> Sieć Web >>> Blokuj elementy pulpitu

 

JEŚLI to nie działa mogą istnieć kolidujące restrykcje ActiveDesktop i naprawi to iconshadows.reg

 

 

 

.

Odnośnik do komentarza
Suchy203

Suchy203

Opublikowano
  • Autor
Opublikowano

IrfanViev to ten ekspert musiał zainstalować, ale trzeba będzie usunąć ponieważ pani nie odtwarza filmików z komórki.

Gdy Pani pisała posta to zrobiłem ten Adobe Reader (mój błąd, przepraszam za zamęt ;)) Adobe Flash zrobiony. Ikonki w porządku. Czyli wszystko gra. Pięknie dziękuję za poświęcony czas i za pomoc. Pozdrawiam :wub:

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...