Witam Tachion
Kiedyś testowałem antywirusa od Unthreat i myślałem że go całkowicie usunąłem , jednak pomyliłem się. On siedzi w centrum akcji , i nie wiem gdzie mam go szukać.
Logi :
Addition.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Sorry że linki nie są na
[Aby zobaczyć linki, zarejestruj się tutaj]
Następnym razem nie przepraszaj, tylko wrzuć logi na wklej.org.
Ponadto z logami gmerał już Miszel03, więc równiez należałoby to uwzględnić:
[Aby zobaczyć linki, zarejestruj się tutaj]
na wklej.org coś wcześniej mi nie wychodziło , po 5 minutach jest ok. Następne logi tam wrzucę.
Ogólnie sprawa wygląda tak, że w tych logach nie było żadnej konkrentnej infekcji, co prawda trzeba było dużo rzeczy skoroygować, m.in Politykę Grup, Martwe Usługi i tym podobne rzeczy.
oj tam oj tam
Problem nie leży w logach tylko trzeba zlokalizować zarejestrowany program w obszarach nazw WMI.
W uruchom wpisz
wbemtest > uruchom i klik w połącz,w okienku wpisz
root\SecurityCenter2 i klik połącz.
[Aby zobaczyć linki, zarejestruj się tutaj]
Dojście do wpisu rejestracji:
Klik w zapytanie i wpisz
SELECT * FROM AntiVirusProduct i zastosuj.
[Aby zobaczyć linki, zarejestruj się tutaj]
Pojawi się okienko z wynikiem wyszukiwania,powinno w nim być coś takiego:
[Aby zobaczyć linki, zarejestruj się tutaj]
Klik w znaleziony wynik i go usuń + zresetuj komputer.
Miszel03
Usunąłeś prawidłową aplikację
Everything + nie zwróciłeś uwagi ilu bitowy jest system a jest 32 bitowy.
Windows 7 Home PremiumService Pack 1 (X86)
Tyczy to 64 bitowego systemu.
CMD: dir /a "C:\Program Files (x86)"
Czyje to konto ?
CMD: dir /a C:\Users\
Radek\AppData\Roaming
Jakby było to tak to rozumiem.
CMD: dir /a C:\Users\
Tibu 11\AppData\Roaming
tachion napisał(a):oj tam oj tam
Problem nie leży w logach tylko trzeba zlokalizować zarejestrowany program w obszarach nazw WMI.
W uruchom wpisz wbemtest > uruchom i klik w połącz,w okienku wpisz root\SecurityCenter2 i klik połącz.
[ [Aby zobaczyć linki, zarejestruj się tutaj]
]
Dojście do wpisu rejestracji:
Klik w zapytanie i wpisz SELECT * FROM AntiVirusProduct i zastosuj.
[ [Aby zobaczyć linki, zarejestruj się tutaj]
]
Pojawi się okienko z wynikiem wyszukiwania,powinno w nim być coś takiego:
[ [Aby zobaczyć linki, zarejestruj się tutaj]
]
Klik w znaleziony wynik i go usuń + zresetuj komputer.
Miszel03
Usunąłeś prawidłową aplikację Everything + nie zwróciłeś uwagi ilu bitowy jest system a jest 32 bitowy.
Windows 7 Home Premium Service Pack 1 (X86)
Tyczy to 64 bitowego systemu.
CMD: dir /a "C:\Program Files (x86)"
Czyje to konto ?
CMD: dir /a C:\Users\Radek\AppData\Roaming
Jakby było to tak to rozumiem.
CMD: dir /a C:\Users\Tibu 11\AppData\Roaming
Tak wiem Everything to prawidłowa aplikacja - i ja się do tego przyznałem:
[Aby zobaczyć linki, zarejestruj się tutaj]
CMD: dir /a C:\Users\
Radek\AppData\Roaming
Nie wiem, co mi przyszło do głowy, że wpisałełem Radek (Facepalm)
Poza tym Tibu 11
Temat od 9 rano,to z 50 razy bym system przywrócił z punktów które masz z przed instalacji UnThreat
Zrobiłem to samo w tym że nie znalazło mi tego wpisu(ostatni screen)
Jeśli dobrze to zrobiłeś to nie widzę problemu.
Uruchom CMD jako Administrator i wklej: winmgmt /verifyrepository
Napisz co ci zwróciło.
[Aby zobaczyć linki, zarejestruj się tutaj]
Tak więc repozytoria są w porządku.
Odinstaluj:
DLL Suite 2013
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
CloseProcesses:
CreateRestorePoint:
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=home
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-857215559-1720827124-3821883275-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-857215559-1720827124-3821883275-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=home
SearchScopes: HKU\S-1-5-21-857215559-1720827124-3821883275-1000 -> DefaultScope {0633ee93-d776-472f-a0ff-e1416b8b2e3a} URL =
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
S3 gfiark; C:\Windows\System32\drivers\gfiark.sys [43368 2013-05-23] (ThreatTrack Security)
C:\Windows\PEV.exe
C:\Windows\MBR.exe
C:\Windows\NIRCMD.exe
C:\Windows\SWREG.exe
C:\Windows\SWSC.exe
C:\Windows\sed.exe
C:\Windows\grep.exe
C:\Windows\zip.exe
C:\Windows\erdnt
C:\Windows\system32\029B560A371F4E00AB32838EBC01B9E7
C:\Windows\system32\{1606DC18-9578-4cbd-8312-8E9868F06A1D}.conf
C:\Windows\system32\{7995330B-E01F-4645-B702-53481E7CB778}.cmdfile
C:\Windows\system32\Drivers\sfi.dat
C:\Users\Tibu 11\AppData\Local\Mixesoft
C:\Windows\system32\{E2AFE0F3-7B0D-A0C6-E6C3-2929AA9B2647}
C:\Windows\system32\ayboot.ini
C:\ifx
C:\Windows\system32\BdSandboxDll32.dll
C:\Users\Tibu 11\AppData\Local\AtStart.txt
C:\Users\Tibu 11\AppData\Local\DSwitch.txt
C:\Users\Tibu 11\AppData\Local\QSwitch.txt
C:\ProgramData\TEMP
Task: {30681642-43DF-4F27-A949-2AEF90FA4FD6} - System32\Tasks\Games\UpdateCheck_S-1-5-21-857215559-1720827124-3821883275-1000
CMD: netsh advfirewall reset
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Fixlog
[Aby zobaczyć linki, zarejestruj się tutaj]
Wszystko na temat
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz
Remove disinfection tools,następnie kliknij
Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Jeszcze raz użyj combofixa !!
No i staraj się nie instalować na ten system co popadnie,dużo różnych pozostałości było po zabezp. i nie używaj Revo bo skutki mogą być nieprzewidziane.
Żeby precyzyjnie odinstalować programy to najlepiej zastosować program do monitorowania zmian instalowanego programu wtedy wartości rejestru jak i pliki są porównywane i w ten sposób można lepiej się pozbyć danych programów.
ok,revo wogóle nie korzystam , zainstalowałem go by usunąć unthreat.
aha z tym problemem to lipa bo nadal centrum pokazuje unthreat
Cytat:Żeby precyzyjnie odinstalować programy to najlepiej zastosować program do monitorowania zmian instalowanego programu wtedy wartości rejestru jak i pliki są porównywane i w ten sposób można lepiej się pozbyć danych programów.
Możesz zaproponować jakiś program ?
Cytat:No i staraj się nie instalować na ten system co popadnie
Instaluje te programy ktore używam.
W FRST okienko wpisz unthreat i klik szukaj w rejestrze jak coś znajdzie to usuń wpisy + reset
Cóż zawsze tak jak pisałem możesz skorzystać z funkcji przywracania systemu z przed instalacji softu.
Nie wiem co spowodowało ten problem może problem tkwi w niezałatanym systemie bądź przez twoje jakieś inne manewry (niepoprawne odinstalowanie) a może i błędnie pokazuje ten wpis.
Ja symulowałem na tym av i jakoś u mnie nie było problemu z tym.
METODA USUWANIA 3 (NIEZALECANA):
Destrukcyjna przez wyzerowanie katalogu Repozytorium rozłożone na kroki: wstrzymanie usługi Instrumentacja zarządzania Windows, zmiana nazwy katalogu C:\WINDOWS\system32\wbem\Repository i restart komputera. Umniejszam tu rolę tego sposobu i nie rozpisuję szczegółowo. Do wykorzystania w ostateczności, gdy zawiodą wszystkie inne metody i jest zdefiniowany jakiś obszerniejszy defekt w funkcjonowaniu WMI
To pomogło
Skoro tak to twoja sprawa,ogólnie repo było spójne.