Objawy zainfekowania:
Kilka około 2 tygodnie temu, AVAST zaczął pokazywać komunikat, że aktualizacja nie została dokończona i kliknij aby zaktualizowac itp.
W żaden sposób nie mogłem go zaktualizować zarówno bazy wirusów jak i programu. Gdy klikałem ręcznie na aktualizacje nic się nie działo. Postanowiłem go odinstalować i zainstalować na nowo. I teraz gdy chce zainstalować AVAST wyskakuje mi błąd po kliknięciu na plik instalacyjny:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Po tym błędzie próbowałem zainstalować AVG - instalacja nie powiodła się. A także ESET i tu niby błąd windowsa (ikona koło zegarka) informujący o tym że nie ma antywirusa zniknął jednak eseta nie widze nigdzie uruchomionego a takze nie chce się włączyć gdy klikam na ikonę.
Ponadto od tamtej pory mam problemy z niektórymi aktualizacjami i funkcjonowaniem programów. Np. Skype zmienił wygląd okna do logowania z ładnego zaokraglonego na stary kanciasty a gdy chcę ten lub inne programy zaktualizować wyskakuje mi błąd na koncu aktualizacji że ta NIE POWIODŁA SIĘ. Myślę ze może ten błąd aktualizaji mieć coś wspólnego z błędę aktualizacji Avasta (tzn ta samą przyczynę). Ponad to chciałbym móc na nowo zainstalować avasta
Wykonywane działania:
O oprogramowaniu ochronnym to tyle co pisze wyżej, a ponad to używam cccleaner, easycleaner,
Logi:
OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
EXTRAS:
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST:
[Aby zobaczyć linki, zarejestruj się tutaj]
ADDITION:
[Aby zobaczyć linki, zarejestruj się tutaj]
Bardzo proszę o pomoc
według mnie nie zainstalujesz avasta bo w rejestrze są pozostawione pliki w rejestrze
żeby zainstalować avasta należy : w start wpisać regedit --->> edycja --->> znajdz,,avast,, zaznacz wszystkie opcje czyli 2-ie / jak znajdzie coś o nazwie avast to usuń / do 7 razy klikaj aż nie znajdzie nic
WIĘCEJ INFORMACJI UDZIELI CI TACHION
Dzieki za odpowiedz.
Nie chcą się usunąć te wpisy:
- Nazwa: DeviceDesc, typ: REG_SZ, Dane: avast! Standard Shield Support
- Nazwa: DeviceDesc, typ: REG_SZ, Dane: avast! Self Protection
- Nazwa: DeviceDesc, typ: REG_SZ, Dane: avast! Asynchronous Virus Monitor
- Nazwa: DeviceDesc, typ: REG_SZ, Dane: avast! HardwareID
Czekam na TACHIONA
Możliwe, że to wciąż aktywne wpisy w autostarcie...pobierz
[Aby zobaczyć linki, zarejestruj się tutaj]
i wyszukaj wpisów ze słowem
avast - polecenie Ctrl+F. Na razie ich nie usuwaj tylko odznacz pola jako puste przy tym, co znajdziesz. Zrób restart systemu i obserwuj czy wszystko Ok z innymi rzeczami...jeśli tak powtórz to wyszukiwanie ale znalezione i puste już pozycje usuń.
Zrób kopie rejestru (lub punkt przywracania systemu), a potem do wyszukaj pozycje rejestru po nazwie - bardzo bobry jest RegSeeker (jest w polskiej wersji)...polecenie "wyszukaj wpisy", wpisz w pole szukania "avast" i zaznacz wszystkie gałęzie rejestru (domyślnie nie wszystkie są zaznaczone). Przy usuwaniu program robi kopię usuwanych wpisów.
po co pobierać 2 programy jak można tylko 1 znajdziesz go na
[Aby zobaczyć linki, zarejestruj się tutaj]
/ jak wejdziesz na tą stronkę to bedziesz wiedział o co biega,po tym programie bez problemów zainstalujesz avasta. Pozdrawiam
dziękujemy za porady, choć nie są jakąś rewelacją. Znamy i szanujemy portal Picasso, a część z nas ma tam nawet swoje konta.
Niestety...nie reklamujemy innych serwisów, a w ramach swoich umiejętności próbujemy pomóc samodzielnie tym, którzy zgłaszają jakieś problemy. Nie każde błędne działanie wymaga robienia mniej lub bardziej skomplikowanych testów i logów, by potem podjąć czasem niewspółmiernie proste działanie.
Staram się proponować narzędzia, które - mam nadzieję - pozwalają na coś więcej...dają możliwość poznania systemu i programów na których pracują...jakiś ogólnych zasad postępowania w trudnych sytuacjach...budują jakąś wiedzę i umiejętności.
ja nie reklamuje tą stronke tylko dałem link gdzie można pobrać program który Avast zrobił by usunąć resztki programu z systemu , to zależy bo niektórzy nie mają zielonego pojecią ... ,,pozwalają na coś więcej...dają możliwość poznania systemu i programów na których pracują...jakiś ogólnych zasad postępowania w trudnych sytuacjach...budują jakąś wiedzę i umiejętności.,,
Jest tu widoczna aktywna infekcja trojanem
MSIL,który blokuje uruchamianie skanerów techniką Debugger, a także wyłącza Harmonogram zadań.
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
HKU\S-1-5-21-2914387428-4094286066-2081525654-1004\...\Winlogon: [Shell] explorer.exe,"C:\Documents and Settings\Paweł Kmiecik\Dane aplikacji\csrrs.exe" <==== ATTENTION
IFEO\avcenter.exe: [Debugger] nqij.exe
IFEO\avconfig.exe: [Debugger] nqij.exe
IFEO\avgcsrvx.exe: [Debugger] nqij.exe
IFEO\avgidsagent.exe: [Debugger] nqij.exe
IFEO\avgnt.exe: [Debugger] nqij.exe
IFEO\avgrsx.exe: [Debugger] nqij.exe
IFEO\avguard.exe: [Debugger] nqij.exe
IFEO\avgui.exe: [Debugger] nqij.exe
IFEO\avgwdsvc.exe: [Debugger] nqij.exe
IFEO\avp.exe: [Debugger] nqij.exe
IFEO\avscan.exe: [Debugger] nqij.exe
IFEO\bdagent.exe: [Debugger] nqij.exe
IFEO\blindman.exe: [Debugger] nqij.exe
IFEO\ccuac.exe: [Debugger] nqij.exe
IFEO\ComboFix.exe: [Debugger] nqij.exe
IFEO\egui.exe: [Debugger] nqij.exe
IFEO\hijackthis.exe: [Debugger] nqij.exe
IFEO\instup.exe: [Debugger] nqij.exe
IFEO\keyscrambler.exe: [Debugger] nqij.exe
IFEO\mbam.exe: [Debugger] nqij.exe
IFEO\mbamgui.exe: [Debugger] nqij.exe
IFEO\mbampt.exe: [Debugger] nqij.exe
IFEO\mbamscheduler.exe: [Debugger] nqij.exe
IFEO\mbamservice.exe: [Debugger] nqij.exe
IFEO\MpCmdRun.exe: [Debugger] nqij.exe
IFEO\MSASCui.exe: [Debugger] nqij.exe
IFEO\MsMpEng.exe: [Debugger] nqij.exe
IFEO\msseces.exe: [Debugger] nqij.exe
IFEO\rstrui.exe: [Debugger] nqij.exe
IFEO\SDFiles.exe: [Debugger] nqij.exe
IFEO\SDMain.exe: [Debugger] nqij.exe
IFEO\SDWinSec.exe: [Debugger] nqij.exe
IFEO\spybotsd.exe: [Debugger] nqij.exe
IFEO\wireshark.exe: [Debugger] nqij.exe
IFEO\zlclient.exe: [Debugger] nqij.exe
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
Toolbar: HKCU - No Name - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} -No File
U1 WS2IFSL;
U3 a1zo7v0g; No ImagePath
U3 ammntwlq; No ImagePath
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\Paweł Kmiecik\Dane aplikacji\TuneUp Software
C:\Documents and Settings\All Users\Dane aplikacji\MFAData
C:\Documents and Settings\Paweł Kmiecik\Ustawienia lokalne\Dane aplikacji\MFAData
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp
C:\Documents and Settings\Paweł Kmiecik\Dane aplikacji\msconfig.ini
C:\Documents and Settings\Paweł Kmiecik\Dane aplikacji\setup.exe
C:\WINDOWS\system32\Application Services
C:\Documents and Settings\Paweł Kmiecik\Ustawienia lokalne\Temp\InstHelper.exe
C:\Documents and Settings\Paweł Kmiecik\Ustawienia lokalne\Temp\RtkBtMnt.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\startupreg\OptProLauncher" /f
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Google Chrome
Ustawienia > karta Ustawienia > Wyszukiwanie przestaw na Google.pl
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
uruchom i kliknij Start.
Wklej na stronę raport z
SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Zrób nowe logi i przedstaw z FRST.txt > Addition.txt + OTL ale bez extras
Raport z fix:
[Aby zobaczyć linki, zarejestruj się tutaj]
Google chrome mam cały czas ustawione:
[Aby zobaczyć linki, zarejestruj się tutaj]
TFC zrobione
SecurityCheck:
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST:
[Aby zobaczyć linki, zarejestruj się tutaj]
Audition:
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
Geniusz napisał(a):ja nie reklamuje tą stronke tylko dałem link gdzie można pobrać program który Avast zrobił by usunąć resztki programu z systemu , to zależy bo niektórzy nie mają zielonego pojecią
No to w porządku...wyjaśniliśmy chyba swoje stanowisko...Tachion zajął się już tematem, więc nie ma sporu
No to w porządku...wyjaśniliśmy chyba swoje stanowisko...Tachion zajął się już tematem, więc nie ma sporu
TAK NA 100%
Następne podejście,po tym zabiegu odinstaluj ESETA,można użyć programu do odinstalowania
[Aby zobaczyć linki, zarejestruj się tutaj]
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
(ESET) C:\Program Files\ESET\ESET Smart Security\ekrn.exe
R2 ekrn; C:\Program Files\ESET\ESET Smart Security\ekrn.exe [1329304 2012-11-26] (ESET)
HKLM\...\Run: [UserFaultCheck] => %systemroot%\system32\dumprep 0 -u
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe" /f
BootExecute: autocheck autochk *BootDefrag.exeC:\PROGRA~1\AVG\AVG2014\avgrsx.exe /sync /restart
C:\Documents and Settings\Paweł Kmiecik\Ustawienia lokalne\Temp\RtkBtMnt.exe
C:\Documents and Settings\Paweł Kmiecik\Dane aplikacji\csrss.exe
Reboot:
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Napisz czy odinstalował się AV poprawnie,zrób nowe logi FRST.txt > Addition.txt i je przedstaw.
Harmonogram zadań jest ok.
A wiec tak:
Estet odinstalowałem.
Fixa zrobiłem (po wykonaniu fixa automatycznie komp uruchomił się ponownie)
LOGI:
Raport po fixie
[Aby zobaczyć linki, zarejestruj się tutaj]
frst
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition
[Aby zobaczyć linki, zarejestruj się tutaj]
Po tym wszystkim spróbowałem zainstalować Avasta - Instalacja ruszyła
Jeżeli nie masz już kolejnych uwag to DZIEKUJE BARDDZO PO RAZ KOLEJNY. JESTEŚ WIELKI
PS. Za kilka dni przyjeżdża do mnie mama z Polski i chciałbym wrzucić logi z jej kompa w celu sprawdzenia wiec do usłyszenia
Jest ok,jak widać av sobie nie poradziło z tym zagrożeniem,avast od tej wersji coś ostatnio podupadł,to już nie pierwszy numer w jego wykonaniu.
Results of screen317''s Security Check version 0.99.79
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
ESET Smart Security
`````````Anti-malware/Other Utilities Check:`````````
CCleaner
EasyCleaner
JavaFX 2.1.1
Java™ 6 Update 32
Java 7 Update 55
Java version out of Date!
Adobe Flash Player 13.0.0.214
Adobe Reader 9
Adobe Reader out of Date!
Mozilla Firefox (30.0)
Google Chrome 35.0.1916.114
Google Chrome 35.0.1916.153
````````Process Check: objlist.exe by Laurent````````
ESET NOD32 Antivirus ekrn.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````
Odinstaluj:
Java™ 6 Update 32
Java 7 Update 55
Adobe Reader 9 (zaktualizuj do nowszej wersji)
Jave zainstaluj z tej strony
[Aby zobaczyć linki, zarejestruj się tutaj]
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz
Remove disinfection tools,następnie kliknij
Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Wszystko co napisałeś wyżej zrobione. Jeszcze raz dziekuje bardzo