witam,
mam problem z uruchomieniem avasta. Jakiś czas temu mi się zatrzymał -> brak zabezpieczeń stan niespójny etc.
Znalazłem poradę aby przeskanować system za pomocą Malwarebytes Anti-Malware. Zeskanowałem program wykrył 5 zagrożeń które usunąłem. Avast nadal nie odpalił, w trybie awaryjnym za pomocą narzędzia aswclear od avasta usunąłem go i po restarcie zainstalowałem świeżą wersję avasta, program dalej nie uruchamia ochrony, to samo co na początku stan niespójny, brak połączenia zjakimkolwiek kontem Avast.
Przeleciałem system ComboFix''em ten znalazł dużo więcej zagrożeń (tych których Malwarebytes nie znalazł) i je usunął. Jednak Avast dalej stoi.
Mam komunikat że brak połączenia z jakimkolwiek kontem Avast, jak próbuje się połączyć, po wprowadzeniu danych dostaje komunikat że teraz mogę korzystać jednak komunikat o braku połączenia z kontem avast dalej jest.
Jest także komunikat że avast został zatrzymany i jego stan jest niespójny. Nie mogę też go zarejestrować, w panelu konserwacja cały czas wyświetla "Pozostało 0 dni" zarejestrowanie nic nie zmienia w programie.
Po instalacji dostałem komunikat jednak był tylko raz więc nie do końca go pamiętam coś mniej więcej: "program odwołuje się do obszaru pamięci... pamięć: not written"
jakoś tak, tylko raz po instalacji coś takiego dostałem, także po tym jak system sprawdził combofix.
Proszę o pomoc jak mogę rozwiązać ten problem.
masz badziew który blokuje program antywirusowy musisz wrzucić logi ze swojego kompaOTL + RSIT
jakie zagrożenia znalazł mbam ?
fakt stało się to w momencie jak ściągnąłem program, który miał monitorować co użytkownik robił na komputerze ile czasu itp, z tym że combofix usuwał właśnie ten program łącznie z katalogami i wpisami rejestru.
to jest co wykrył mbam:
- C:\Users\pablo\AppData\Local\ALLPlayer\Plugins\Scripter''s Spectrum.svp (Trojan.Downloader) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Windows\clfct.dll (Trojan.SpyAgent) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Windows\sysk32.dll (Trojan.Agent) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Windows\System32\sinvfct.dll (Spyware.NetVizor) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Windows\SysWOW64\sinvfct.dll (Spyware.NetVizor) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
a tutaj linki do OTL i RSIT:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
u mnie nie chcą się te linki otworzyć
postaraj się nie płacić przez ten komp w bankowości internetowej
jeżeli to możliwe po naprawie kompa zmień hasła dostępu
wywaliło mi hosting, zaraz linki spróbuję aktywować.
linki już powinny działać
nie korzystać z bankowości internetowej? Nie ukrywam wystraszyłeś mnie tym troszkę, trojan jest znany jakiś?
coś konkretnie może być nawalone?
a masz pewność 100% że ten malware nie wykrada danych ?
ja bym wykonał formata całego sytemu, zmienił zabezpieczenie i uważał na to co otwieram
nie no zgadzam się, myślałem że miałeś do czynienia z konkretnym przypadkiem, program wydawał się ok, były opinie w komentarzach także nie wzbudzał podejrzeń, pobrań także sporo. logi powinny już działać tak jak pisałem, jeśli faktycznie nie uda się nic zrobić to poleci format, tylko zastanawia mnie jedno czy dalej to jest jeszcze na kompie combofix usuwał katalogi wpisy z tego.
tutaj jeszcze logi z ComboFixa:
[Aby zobaczyć linki, zarejestruj się tutaj]
niestety nie ma dużego doświadczenia w logach ponieważ mam maca i windy używam okazjonalnie, niech ktoś jeszcze sprawdzi z forum
Na szybko to ja tutaj nic nie widzę. Usuń wszystkie toolbary jakie masz przez panel sterowania. Dodatkowo wywal Conduit Engine.
Jedyne co zwróciło moją uwagę to resztki po McAffe oraz wpis
Kod:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 62.179.1.62 62.179.1.63
Kojarzysz te przekierowanie?
od mcaffe to prawdopodobnie jest połączenie z serwerem bo z jakimś programem ściągnąłem skrypt do skanowania online.
toolbary usunięte nic się nie zmieniło w kwestii aktywowania avasta
Koledzy, a nie lepiej po prostu przeskanować system za pomocą jakiegoś rescue cd? Np. od Kasperskiego
[Aby zobaczyć linki, zarejestruj się tutaj]
albo Aviry
[Aby zobaczyć linki, zarejestruj się tutaj]
Na "żywym organizmie" różnie wychodzi, nie zaszkodzi sprawdzić poza nim.
aope dobrze mówisz
Przyznaję się - nie miałem do czynienia z CD Kaspra czy też Aviry. Jedynie dokładny,skuteczny ale powolny Dr.Web Live CD.
pablo83 - przeskanuj jedną z płyt od aope. Gdy to wykonasz oraz usuniesz zagrożenia pokaż dodatkowy log z OTL to usuniemy resztki od McAffe i może Avast zacznie działać
masz Babylon Toolbar ...nie wiem, czy go chciałeś, ale ten dodatek jest traktowany jako typowe adware i bywa niechcący instalowany przy okazji innych programów...podobnie do Ask.toolbar. Wg opisu poniżej bywa przyczyną przeróżnych kłopotów
Cytat: Description: Babylon.exe is located in a subfolder of "C:\Program Files" - common is C:\Program Files\Babylon\. Known file sizes on Windows 7/XP are 2,019,385 bytes (17% of all occurrence), 2,433,086 bytes and 41 more variants.[Aby zobaczyć linki, zarejestruj się tutaj]
There is an icon for this program on the taskbar next to the clock. File Babylon.exe is not a Windows core file. It can change the behavior of other programs or manipulate other programs. Babylon.exe is able to record inputs, monitor applications. Therefore the technical security rating is 47% dangerous, however also read the users reviews.
The software vendor offers the option to uninstall Babylon Translator or Easy Driver Installation software via Windows Control Panel/Add or Remove Programs (Windows XP) or Programs and Features (Windows 7/Vista).
[Aby zobaczyć linki, zarejestruj się tutaj]
Tu więcej na temat usuwania gdybyś miał kłopoty
[Aby zobaczyć linki, zarejestruj się tutaj]
Z własnego doświadczenia mogę Ci poradzić spróbować zainstalować Kingsoft PC Doctor, który ma na prawdę dobry skaner tego typu dziadostwa czy pozostałości po nieistniejących już dodatkach, pluginach, toolbarach.
Ichito myślisz że to może być przyczyną niezdolności do pracy avasta?
Autor -> Do OTL w własne pole skanowania skrypt wklej:
Kod:
:Processes
Killallprocesses
:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=109217&babsrc=HP_ss&mntrId=48228a3b00000000000000218550fcc8"
IE - HKU\S-1-5-21-2704878552-4047444051-234211508-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?AF=109217&babsrc=HP_ss&mntrId=48228a3b00000000000000218550fcc8
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
O4 - HKU\S-1-5-21-2704878552-4047444051-234211508-1003..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
:Services
SRV - [2010-01-15 13:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
:Files
C:\Users\pablo\AppData\Roaming\mozilla\Firefox\Profiles\w4hgik0e.default\extensions\[email protected]
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Program Files (x86)\BabylonToolbar
C:\Users\pablo\AppData\Local\Babylon
C:\ProgramData\Babylon
C:\Users\pablo\AppData\Roaming\Babylon
C:\ProgramData\McAfee Security Scan
C:\ProgramData\McAfee
C:\Program Files (x86)\McAfee Security Scan
:Commands
[EMPTYFLASH]
[EMPTYTEMP]
Wykonaj skrypt. Pokaż log z usuwania. Potem możesz użyć Kingsoft PC Doktor.
- toolbar''ów już nie ma wszystko usunąłem.
- fakt nie wpadłem na ten pomysł, próbowałem kaspersky - pojawiły się błędy po odpaleniu w wersji graficznej i rescue nie ruszył w przypadku drugiego znacznie lepiej scan przeprowadzony avira''ą, wykrył to co combofix czyli "Spyware" (od tego programiku się wszystko zaczęło). Jednak avira wykonał też rename''y na innych plikach systemowych i miałem problem z podniesieniem systemu. Po interwencji z płytką win 7 (napraw) system wstał mimo zwieszania i restartów podczas wykonywania.
System działa tak jak wcześniej, avasta nadal nie da się odpalić. Na obecną chwilę nie widzę innego rozwiązania niż format, chyba że ktoś znajdzie jakieś rozwiązanie.
pytanie być może głupie ale jednak zadam, czy jest sens żebym poleciał z formatem tylko po C: ? i olać drugą partycje, czy nie ryzykować że coś może być na D: i po prostu zrobić format po całości?
Czytałem sporo o "dziwnościach", które oferuje nowy Avast...od konfliktów z innymi softami czy składnikami systemu, po wewnętrzne niedoróbki typu brak połączeń z kontami czy społecznością, aktualizacji, niedziałająca zapora, itp.
Format jest ostatecznym rozwiązaniem i wcale nie najlepszym. Moja propozycja...odinstaluj Avasta za pomocą jego własnego narzędzia - robi się to trybie awaryjnym - potem zrestartuj system i wyszukaj wszystkie pozostałości plikowe/folderowe po nim (będą na pewno), wyszukaj w rejestrze wpisy po nim (doskonale sobie radzi z tym Regseeker)...na koniec jakiś uniwersalny czyściciel np. CCleaner, Vit Registry Fix czy Glary utilities.
Potem zainstaluj pełny (z modułem zabezpieczającym) Kingsoft PC Doctor i zrób nim skan pluginów...niemal na bank wykryje jeden po Avaście (chyba Web-rep) i usuń go. Popracuj trochę z KPCD...tak przez tydzień chociaż...spróbuj uruchomić czyszczenie dysku ze śmieci, śmieci rejestru, zrób skan modułem AV...możliwe, że zamiast Avasta zostaniesz przy nim
dzięki za radę, poczyściłem system wg twoich zaleceń fakt znalazła się ogromna ilość syfu.
mam na razie KPCD po pracuję trochę z nim zobaczymy jak się zachowuje, na razie wygląda obiecująco.