laik Opublikowano 30 Lipca 2010 Zgłoś Udostępnij Opublikowano 30 Lipca 2010 WItam, jestem dość mocnym laikiem w zw. z informatyką i pojawił sie problem na moim komputerze. Po instalacji jakegoś lewego antyvira Panda działy sie dziwne rzeczy z kompem mi. bluescriny. Odinstalowałem go ale zaczeło pojawiać sie okno z system windows nie może odnaleźć pliku Windows Defender Apps Control.exe ... niewiem co mam z tym zrobić a mnie to maxymalnie wkurza. Pozdrawiam, mam nadzieje że założyłem wątek w dobrym dziale i dziękuje za pomoc. System Vista Odnośnik do komentarza
picasso Opublikowano 30 Lipca 2010 Zgłoś Udostępnij Opublikowano 30 Lipca 2010 To infekcja, jest nam znana, wiemy jak ją usunąć. Ale w dziale Malware jest wykluczona dyskusja w oparciu o opowieści. Są wymagane obowiązkowe logi. Przeczytaj i dołącz wymagane dane: KLIK. Odnośnik do komentarza
laik Opublikowano 30 Lipca 2010 Autor Zgłoś Udostępnij Opublikowano 30 Lipca 2010 dziękuje Ci picasso i dodaje potrzebne pliki. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 30 Lipca 2010 Zgłoś Udostępnij Opublikowano 30 Lipca 2010 Zapomniałeś o obowiązkowym logu pod kątem rootkitów: GMER, a jeśli są z nim problemy to RootRepeal. Ta infekcja zresztą to jest typ rootkit. Po instalacji jakegoś lewego antyvira Panda działy sie dziwne rzeczy z kompem mi. bluescriny. Odinstalowałem go ale zaczeło pojawiać sie okno z system windows nie może odnaleźć pliku Windows Defender Apps Control.exe ... Bez wątpienia ta Panda, którą instalowałeś, to nie mogła być czysta Panda od producenta, tylko Panda z trojanem. Sterownik cpuvis.sys tej infekcji startuje nawet z katalogu Panda, oraz na dysku równolegle powstały foldery infekcji i Panda. W logu tak to wygląda: PRC - [2010-07-30 18:35:18 | 000,016,374 | ---- | M] () -- C:\Program Files\My applications\Windows Live Control.exeDRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Laki\Desktop\PandaIS\PandaIS\P.IS.15.01.00\cpuvis.sys -- (cpuvis) [2010-07-30 18:37:35 | 000,000,000 | ---D | C] -- C:\Program Files\Panda Security[2010-07-30 18:35:18 | 000,000,000 | ---D | C] -- C:\Program Files\My applications Są tu także szczątki w mapowaniu po podpinaniu zainfekowanego urządzenia USB oraz różne adware / świńskie paski narzędziowe. Twoim głównym antywirusem jest Avast, lecz poniewierają się śmieci po Symantec i GData. Poza tym martwe usługi Bluetooth. Wszystko sprzątniemy: 1. Po pierwsze przekonfiguruj folder powłoki Autostart, bo ta infekcja zmienia ścieżkę dostępu: Start > w polu szukania wpisz regedit > wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Dwuklik w wartość Startup i zastąp obecny tam ciąg prawidłową ścieżką Windows Vista: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files\My applications C:\Program Files\Panda Security C:\Program Files\Temp C:\Users\Laki\Desktop\PandaIS C:\Users\Laki\Desktop\Panda_Antivirus_Pro_2010_9.01.00.DHI-FORUMERZ.COM C:\Users\Laki\AppData\Local\AP10promo.exe C:\Users\Laki\AppData\Local\woj.exe C:\Windows\System32\PAV_FOG.OPC :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{2F7E3E76-F8C3-4A99-AF3D-7340E2D4774F}"=- "{CF2E81F4-575E-443B-8478-AA9B20987F9B}"=- "{F68E2B49-D5D8-4D9D-8E04-0780F26FA70B}"=- "{F7A0D7EC-2315-477F-96B0-EA83E61BF0DF}"=- "TCP Query User{5D6D2C90-38EE-466F-831B-A65B0F977B6A}C:\program files\relevantknowledge\rlvknlg.exe"=- "UDP Query User{4D5C097A-6FAB-4BB1-A330-4D9CE7489751}C:\program files\relevantknowledge\rlvknlg.exe"=- :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Laki\Desktop\PandaIS\PandaIS\P.IS.15.01.00\cpuvis.sys -- (cpuvis) SRV - File not found [Auto | Stopped] -- C:\Program Files\RelevantKnowledge\rlservice.exe -- (RelevantKnowledge) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\VcommMgr.sys -- (VcommMgr) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\VComm.sys -- (VComm) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\IvtBtBus.sys -- (IvtBtBUs) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\dgderdrv.sys -- (dgderdrv) DRV - File not found [Kernel | Boot | Stopped] -- C:\Windows\System32\Drivers\BtHidBus.sys -- (BtHidBus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\btnetdrv.sys -- (BT) O3 - HKU\S-1-5-21-1076009195-1905277617-1638349785-1000\..\Toolbar\WebBrowser: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) O34 - HKLM BootExecute: (MACHINE BootExecut) - File not found [2010-07-22 22:31:03 | 000,053,320 | ---- | C] (G Data Software AG) -- C:\Windows\System32\drivers\MiniIcpt.sys [2010-07-22 22:30:46 | 000,046,536 | ---- | C] (G DATA Software AG) -- C:\Windows\System32\drivers\PktIcpt.sys [2010-07-22 22:29:52 | 000,027,720 | ---- | C] (G Data Software AG) -- C:\Windows\System32\drivers\GDBehave.sys [2010-07-22 22:29:51 | 000,040,904 | ---- | C] (G DATA Software AG) -- C:\Windows\System32\drivers\gdwfpcd32.sys [2010-07-22 22:29:03 | 000,000,000 | ---D | C] -- C:\ProgramData\G DATA [2010-07-22 22:29:03 | 000,000,000 | ---D | C] -- C:\Program Files\G Data [2010-07-22 22:29:03 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\G DATA :Commands [emptyflash] [emptytemp] Uruchom czyszczenie przez opcję Wykonaj skrypt. Nastąpi restart komputera, a po nim otrzymasz log z tego działania. Zachowaj go. 3. Otwórz Panel sterowania i wejdź do apletu deinstalacji programów i odinstaluj adware: RelevantKnowledge + Astroburn Toolbar + MyAshampoo Toolbar. Dodatkowo także pozostałość Symantec LiveUpdate Notice + LiveUpdate 3.2. 4. Uruchom OTL i wykonaj normalny log opcją Skanuj (nie zapomnij przestawić skanu dodatkowego na Użyj filtrowania). Dołączasz też log powstały z usuwania w punkcie 2. . Odnośnik do komentarza
laik Opublikowano 30 Lipca 2010 Autor Zgłoś Udostępnij Opublikowano 30 Lipca 2010 picasso dziękuje za porady, zrobie wszystko napewno ale teraz generuje się GMER więc poczekam jak sie skończy bo operacje które piszesz że należy wykonać kończą sie restartem. dodaje GMER i robie to co poleciłeś Picasso gmep.txt Odnośnik do komentarza
laik Opublikowano 30 Lipca 2010 Autor Zgłoś Udostępnij Opublikowano 30 Lipca 2010 zrobiłem powyższe kroki. Były 2 zawiechy przy 1 kroku a winny był blokujący Avast. Ale sie udało i już nic nie wyskakuje. Załączam plik po 1 kroku i ogólny skan po wszystkich krokach. Extras.Txt OTL.Txt po.txt Odnośnik do komentarza
picasso Opublikowano 30 Lipca 2010 Zgłoś Udostępnij Opublikowano 30 Lipca 2010 Były 2 zawiechy przy 1 kroku a winny był blokujący Avast. Ale sie udało i już nic nie wyskakuje. Czyli powtarzałeś skrypt? Jeśli tak, było to niepotrzebne i dlatego w logu z usuwania jest wszędzie "not found", tak jakby się nic nie wykonało. Ale robota została wykonana (i musiało się to zdarzyć już podczas pierwszego podejścia w trakcie "zwieszki"), bo widzę aktualny wygląd systemu i prawie wszystko zostało według instrukcji usunięte. Dodatkowa ciekawostka to wyniki zadanego przeze mnie procesu czyszczenia plików tymczasowych i Koszy i nie wykluczam, że to mogło "dopomóc" zawieszeniu przy przetwarzaniu takiego kolosa: [EMPTYTEMP] User: All Users User: Default->Temp folder emptied: 0 bytes->Temporary Internet Files folder emptied: 0 bytes User: Default User->Temp folder emptied: 0 bytes->Temporary Internet Files folder emptied: 0 bytes User: Laki->Temp folder emptied: 4739370752 bytes->Temporary Internet Files folder emptied: 968794445 bytes->Java cache emptied: 72122827 bytes->FireFox cache emptied: 59285152 bytes->Opera cache emptied: 484077117 bytes->Flash cache emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes%systemroot% .tmp files removed: 0 bytes%systemroot%\System32 .tmp files removed: 1610800 bytes%systemroot%\System32\drivers .tmp files removed: 0 bytesWindows Temp folder emptied: 11608094565 bytesRecycleBin emptied: 19416238473 bytes Total Files Cleaned = 35Â 619,00 mb Porównaj ile się zwolniło miejsca, przed i po sprzątaniu: Drive C: | 149,04 Gb Total Space | 29,16 Gb Free Space | 19,56% Space Free | Partition Type: NTFSDrive D: | 141,23 Gb Total Space | 69,02 Gb Free Space | 48,87% Space Free | Partition Type: NTFS vs. Drive C: | 149,04 Gb Total Space | 53,64 Gb Free Space | 35,99% Space Free | Partition Type: NTFSDrive D: | 141,23 Gb Total Space | 77,50 Gb Free Space | 54,87% Space Free | Partition Type: NTFS Oceniając log aktualny, drobnostki jeszcze zostały, już natury kosmetycznej. Te śmieciarskie paski narzędziowe nie odinstalowały się w sposób idealny. Tak to z nimi już bywa. 1. Zamknij przeglądarki internetowe. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1076009195-1905277617-1638349785-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2475029" FF - prefs.js..browser.startup.homepage: "http://www.astroburn-search.com/startpage" FF - prefs.js..browser.search.selectedEngine: "Astroburn Search" O3 - HKU\S-1-5-21-1076009195-1905277617-1638349785-1000\..\Toolbar\WebBrowser: (no name) - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No CLSID value found. O34 - HKLM BootExecute: (MACHINE BootExecut) - File not found [2010-07-01 13:43:39 | 000,000,000 | ---D | M] (MyAshampoo Toolbar) -- C:\Users\Laki\AppData\Roaming\mozilla\Firefox\Profiles\klu4cr5m.default\extensions\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} [2010-07-01 13:36:58 | 000,002,067 | ---- | M] () -- C:\Users\Laki\AppData\Roaming\Mozilla\FireFox\Profiles\klu4cr5m.default\searchplugins\absearch-search.xml [2010-07-01 13:36:58 | 000,000,000 | ---D | C] -- C:\Program Files\Astroburn Toolbar Uruchom przez Wykonaj skrypt. To poleci szybko i nie będzie tym razem restartu. 2. Otrzymany log zaprezentuj tutaj. . Odnośnik do komentarza
laik Opublikowano 30 Lipca 2010 Autor Zgłoś Udostępnij Opublikowano 30 Lipca 2010 DZIĘKUJE ZA POMOC wiedza i pomoc, twoja (jak i forum) jest nieoceniona, jeszcze raz dziękuje. Niesamowite to z tym wolnym miejscem ps. paski mi nie przeszkadzają zbyt bo używam opery po2.txt Odnośnik do komentarza
picasso Opublikowano 30 Lipca 2010 Zgłoś Udostępnij Opublikowano 30 Lipca 2010 W porządku, wykonane. Do przeprowadzenia kroki kończące fazę dezynfekcji: 1. W OTL użyj funkcję Sprzątanie. To usunie kwarantannę OTL oraz narzędzie jako takie. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE. To także powinno zbić miejsce na dysku, bo stworzony zostanie nowy pierwszy punkt, a istniejące zostaną usunięte. 3. Wykonaj dla pewności pełny skan przez Malwarebytes' Anti-Malware. Zgłoś się tu z wynikami. Odnośnik do komentarza
laik Opublikowano 31 Lipca 2010 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2010 Dzieńdobry. Właśnie wykonałem te 3 kroki i oto wyniki z skanowania programem z 3 punktu (antimalware). mbam-log-2010-07-31 (13-10-51).txt Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2010 Zgłoś Udostępnij Opublikowano 31 Lipca 2010 Usuń to co znalazł MBAM i to by było na tyle. Odnośnik do komentarza
laik Opublikowano 31 Lipca 2010 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2010 Zrobione, dziękuje jeszcze raz Odnośnik do komentarza
picasso Opublikowano 31 Lipca 2010 Zgłoś Udostępnij Opublikowano 31 Lipca 2010 (edytowane) Tu jeszcze na koniec się kwalifikują kroki zabezpieczające: 1. Było mapowanie po podpinaniu zainfekowanego USB. Skorzystaj z opcji Computer Vaccination w Panda USB Vaccine. Dodatkowo poczytaj o nowym zagrożeniu przy przetwarzaniu skrótów LNK: KLIK. 2. Oprogramowanie do aktualizacji: Internet Explorer (Version = 7.0.6002.18005) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{1D2C96C3-A3F3-49E7-B839-95279DED837F}" = Opera 10.60"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish"{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Gadu-Gadu" = Gadu-Gadu 7.7"Google Chrome" = Google Chrome"Mozilla Firefox (3.0)" = Mozilla Firefox (3.0) Pomimo, że deklarujesz iż korzystasz tylko z Opery (nawiasem: w zainstalowanych siedzi wpis także starej Opery), to jednak masz alternatywne przeglądarki i były w obrotach (czyszczenie Tempów pokazało niepuste cache = ergo używano ich). Wszystkie zaktualizować. Wszelkie wtyczkowania przeglądarek (Java / Adobe Flash / Adobe Reader) także muszą być zaktualizowane, by ograniczyć podatność na infekcje z www: INSTRUKCJE. Dodatkowo widzę, że się męczysz na GG7, które przecież nawet już nie obsługuje w pełni własnej sieci, oraz jest to końcowy "produkt" mało bezpiecznej serii. Kieruję po alternatywę do tematu: Darmowe komunikatory. Osobiście polecam WTW. . Edytowane 9 Listopada 2011 przez picasso 31.08.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi