Skocz do zawartości
Zamknięcie Forum PC LAB

Szanowny Użytkowniku,

Informujemy, że za 30 dni tj. 30 listopada 2024 r. serwis internetowy Forum PC LAB zostanie zamknięty.

Administrator Serwisu Forum PC LAB - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie: wypowiada całość usług Serwisu Forum PC LAB z zachowaniem miesięcznego okresu wypowiedzenia.

Administrator Serwisu Forum PC LAB informuje, że:

  1. Z dniem 29 listopada 2024 r. zakończy się świadczenie wszystkich usług Serwisu Forum PC LAB. Ważną przyczyną uzasadniającą wypowiedzenie jest zamknięcie Serwisu Forum PC LAB
  2. Dotychczas zamowione przez Użytkownika usługi Serwisu Forum PC LAB będą świadczone w okresie wypowiedzenia tj. do dnia 29 listopada 2024 r.
  3. Po ogłoszeniu zamknięcia Serwisu Forum od dnia 30 października 2024 r. zakładanie nowych kont w serwisie Forum PC LAB nie będzie możliwe
  4. Wraz z zamknięciem Serwisu Forum PC LAB, tj. dnia 29 listopada 2024 r. nie będzie już dostępny katalog treści Forum PC LAB. Do tego czasu Użytkownicy Forum PC LAB mają dostęp do swoich treści w zakładce "Profil", gdzie mają możliwość ich skopiowania lub archiwizowania w formie screenshotów.
  5. Administrator danych osobowych Użytkowników - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie zapewnia realizację praw podmiotów danych osobowych przez cały okres świadczenia usług Serwisu Forum PC LAB. Szczegółowe informacje znajdziesz w Polityce Prywatności

Administrator informuje, iż wraz z zamknięciem Serwisu Forum PC LAB, dane osobowe Użytkowników Serwisu Forum PC LAB zostaną trwale usunięte ze względu na brak podstawy ich dalszego przetwarzania. Proces trwałego usuwania danych z kopii zapasowych może przekroczyć termin zamknięcia Forum PC LAB o kilka miesięcy. Wyjątek może stanowić przetwarzanie danych użytkownika do czasu zakończenia toczących się postepowań.

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Daray

Nietypowy wirus

dodany przez Daray, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

Daray    1

Daray
Napisano

Witam!

 

Na wstępie zaznaczam że pomimo iż miałem do czynienia z wieloma wirusami, z takim spotkałem się po raz pierwszy. Podejrzewam, że złapałem go podczas pobierania plików z sieci P2P, jednak to akurat ma najmniejsze znaczenie. Na początku wirus usunął mi utorrent'a ( w ogóle nie ma go na dysku)oraz wyłączył antywirusa AVG (zdolna bestia). Po za tym nie mogłem załączyć niektórych programów. Wyskakiwał komunikat "System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu."

Tak samo działo się ze ściągniętymi już po infekcji ComboFix'em oraz OTL'em. Tutaj jednak częściowo pomogło przejęcie dysku z "TrustedInstaller" na na konto główne. (czyt. Udało mi się odpalić OTL)

 

Logów z niego jednak jeszcze nie mam, gdyż to proces wielogodzinny, więc go zostawiłem na noc. Pech jednak chciał, że rano wyłączyli prąd i logi poszły się...

 

Dziś po włączeniu kompa problem był jeszcze rozleglejszy. Więcej aplikacji nie działało, a cześć wyglądała na zupełnie usunięte (np AdobeReader, MSI(RM)Intel®ExtremeTuning,MSOffice etc.) Nie działał WindowsDefender, a w Chrome wyskakuje "BFLLR Dynamic Library

Znane są przypadki konfliktu tego modułu z przeglądarką Google Chrome."

 

W akcie desperacji zapuściłem ComboFix'a (logi: http://wklej.org/id/1252262/). Przywróciło to część funkcjonalności, lecz w chrome nadal występuje błąd i nie mogę odpalić AVG (Wyskakuje błąd "Program AVG User Interface" Po odpaleniu jego instalki i opcji "napraw", wyskakuje: Błąd podczas odczytu z pliku C:\ProgramData\MFAData\paczCOREx64.msi. Sprawdź, czy plik istnieje i czy masz do niego dostęp.

 

Poziom zagrożenia:Bląd

Kod błędu: 0xC0070643 (...)

 

Podobnie jest podczas próby odinstalowania AVG z panelu sterowania.

 

Do AQQ podobnie nie mam dostępu.

 

Problemem może się okazać fakt, że zmieniłem właściciela dla C:\ i teraz nie mogę wrócić do TrustedInstaller. Niestety nie wiedziałem wcześniej, że dla C:\ nie wolno tego robić ;/

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Daray    1

Daray
Napisano

Być może była to infekcja, a ów brak dostępu jest jej wynikiem? Cóż, wpierw sprawdzę doktorka, a potem będę rozmyślał nad tym dalej.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Daray    1

Daray
Napisano

Doktorek twierdzi że nic nie wykrył, lecz wcześniej zgłosił że mój klucz licencyjny jest nieważny. Nie wiem, czy ma to jakieś znaczenie.

 

Mam natomiast logi OTL

 

EDIT:

 

Do programu AQQ udało mi się dobrać. Okazało się, że nikt nie był właścicielem aplikacji, a w prawach dostępu nie było żadnego konta. Zmieniłem na siebie i hula, ale nie mogę w ten sam sposób naprawić AVG.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

1) Odinstaluj AVG SafeGuard toolbar

 

2) Usuń AVG 2014 przy pomocy AVG Remover - http://www.avg.com/download-tools

 

3) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O2 - BHO: (AVG SafeGuard toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG SafeGuard toolbar\17.3.0.49\AVG SafeGuard toolbar_toolbar.dll ()

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1385227480&from=smt&uid=ST1000DM003-1CH162_S1DD6SQ0XXXXS1DD6SQ0&q={searchTerms}

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1385227480&from=smt&uid=ST1000DM003-1CH162_S1DD6SQ0XXXXS1DD6SQ0

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1385227480&from=smt&uid=ST1000DM003-1CH162_S1DD6SQ0XXXXS1DD6SQ0&q={searchTerms}

 

:Files

C:\Program Files (x86)\AVG SafeGuard toolbar

 

:Reg

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-1653770872-501085991-2730561151-1000\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-1653770872-501085991-2730561151-1000\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.google.com/"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.google.com/"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

4) Zainstaluj od nowa AVG 2014.

Sprawdź, czy działa.

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Daray    1

Daray
Napisano

Raport:

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233}\ deleted successfully.
C:\Program Files (x86)\AVG SafeGuard toolbar\17.3.0.49\AVG SafeGuard toolbar_toolbar.dll moved successfully.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
========== FILES ==========
C:\Program Files (x86)\AVG SafeGuard toolbar\17.3.0.49 folder moved successfully.
C:\Program Files (x86)\AVG SafeGuard toolbar folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes not found.
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes not found.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1653770872-501085991-2730561151-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope deleted successfully.
HKEY_USERS\S-1-5-21-1653770872-501085991-2730561151-1000\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"http://www.google.com/" /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main\\"Start Page"|"http://www.google.com/" /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Darayawus
->Temp folder emptied: 9952003 bytes
->Temporary Internet Files folder emptied: 66682 bytes
->Java cache emptied: 1095584 bytes
->Google Chrome cache emptied: 227442717 bytes
->Flash cache emptied: 36724 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Małgosia
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 73644 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 240736832 bytes

User: Public
->Temp folder emptied: 0 bytes

User: TEMP
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 7754 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 43245002 bytes
RecycleBin emptied: 204023 bytes

Total Files Cleaned = 499,00 mb

OTL by OldTimer - Version 3.2.69.0 log created on 01292014_152006

Files\Folders moved on Reboot...
C:\Users\Darayawus\AppData\Local\Temp\devcon64.exe moved successfully.
C:\Users\Darayawus\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Darayawus\AppData\Local\Temp\MSIAFTERBURNERSETUP.EXE moved successfully.
C:\Users\Darayawus\AppData\Local\Temp\ose00000.exe moved successfully.
C:\Users\Darayawus\AppData\Local\Temp\SETUP_AFTERBURNER.EXE moved successfully.
C:\Users\Darayawus\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

 

Czyli operacja się udała, pacjent nie przeżył... A dokładnie AVG dalej jest na kompie, więc nie mogę go zainstalować, a przy probie uruchomienia lub odinstalowania pojawia się wcześniejszy błąd.

BTW. Nie znam się na skryptach OTL, ale czemu akurat AVG toolbar, skoro tu cała aplikacja nie działa :D

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

AVG Toolbar jest tylko niechcianym dodatkiem.

 

Czy na pewno próbowałeś usuwać AVG 2014 przy pomocy AVG Remover ?

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Daray    1

Daray
Napisano

AVG Remover? To jakaś osobna aplikacja? Bo ja próbowałem odinstalować z panelu sterowania, oraz z menu, które odpala się podczas uruchomienia instalki. W menu tym opcja "napraw" też nie działa. Tj. wyskakuje ten dziwny błąd.

 

EDIT:

 

Pytanie nieważne. Ściągnąłem, odpaliłem i... usunęło mi AVG (magia!). Chociaż w konsoli często wyskakiwały komunikaty "Plik nie istnieje" lub coś z brakiem dostępu. Teraz instaluje od nowa.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

AVG Remover? To jakaś osobna aplikacja? Bo ja próbowałem odinstalować z panelu sterowania, oraz z menu, które odpala się podczas uruchomienia instalki.

Antywirusów nie usuwa się tak, jak inne programy.

Trzeba do ich usuwania stosować specjalne narzędzia.

Dla AVG takim narzędziem jest AVG Remover.

 

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Daray    1

Daray
Napisano

Cóż, jak jednak wspomniałem wcześniej, nawet ten AVG Remover (BTW. używałem już wielu antywirusów, lecz to był pierwszy, którego nie mogłem odinstalować tak po prostu!) sobie z tym nie poradził. Znaczy, niby coś tam usunął, niby programu nie było na dysku, ale pozostawił parę kłopotliwych plików. Dopiero zabawa z konsolą cmd pomogła mi pozbyć się ich. W każdym razie problem można uznać praktycznie za rozwiązany, mimo że wirus pozostawił po sobie trwały ślad.

 

Dziękuję Ci Filutka, za poświęcenie dla mnie czasu, oraz oczywiście za pomoc w rozwiązaniu. Bez Twoich rad zdecydowanie bym sobie nie poradził (ba, na biurku już leżała płytka z nowym systemem)

 

Co do tematu, to naturalnie można go uznać za zamknięty.

 

Pozdrawiam.

 

 

Daray

 

 

PS. Proszę nie sądzić, że AVG uważam za zły antywirus. Tą infekcje złapałem nie przez fakt, że on coś przepuścił lecz to, że zignorowałem jego ostrzeżenia, a nawet wyłączyłem na chwilę, byle tylko uruchomić pewien plik. Nigdy więcej :D

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...