Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Nietypowe zachowanie komputera po mbam. M.in. Vundo

06 Lip 2013 01:42 1872 8
  • Poziom 8  
    Witam!
    Jest to dość nietypowy problem na mój gust. Nie jestem pewien, czy to dobry dział, wybrałem go ponieważ problem wystąpił po czyszczeniu komputera z wirusów, itp. i mogą one jeszcze występować na komputerze. Tekst wyszedł długi, starałem się jak najdokładniej opisać moje działania oraz reakcje komputera.

    Najpierw opiszę sytuację. Stacjonarny komputer, którego nie używałem od ponad 2 lat. Postanowiłem go odpalić, zupdate'ować i przeskanować. Po aktualizacji sterowników przeskanowałem go za pomocą Microsoft Security Essentials, który wykrył 2 rzeczy: 1) HackTool:Win32/Keygen 2)Adware:Win32/OpenCandy oraz je usunął. Następnie ściągnąłem Malwarebytes i zrobiłem full scan. Zostało wykrytych 10 problemów, oto log Nietypowe zachowanie komputera po mbam. M.in. Vundo.
    Teraz pierwsza rzecz, która rzuciła mi się w oczy to fakt, że Essentials przeskanował okolo 2.5kk plików, podczas gdy mbam zaledwie 460k, wszystkie opcje były zaznaczone oraz wykonane pełne skanowanie w obu przypadkach.
    A teraz najważniejsza kwestia, po poddaniu kwarantannie oraz usunięciu problemów mbam poprosił o restart komputera, co zrobiłem. Podczas włączania, po wybraniu użytkownika zastałem permanentny blackscreen. Widoczny był tylko kursor, którym mogłem swobodnie operować, ale ani tła ani plików nie było widać. Zresetowałem komputer, wybrałem drugiego użytkownika i to samo. Działał natomiast menedżer zadań, włączyłem go, przeszedłem do zakładki "usługi", wybrałem funkcję "ProtectedStorage", która była zatrzymana i uruchomiłem ją(wybrałem ją dość przypadkowo, wydawała się bezpieczna). I tu boom, wszystko zaczęło ładnie działać. Dostrzegłem za to, że MSE w prawej części paska zadań jest zaznaczony na pomarańczowo z wykrzyknikiem i informacją, że może być niezaktualizowany(chociaż aktualizacji dokonałem rano). No to dałem mu się zaktualizować, następnie szybkie skanownie, potem szybkie skanowanie mbam i niby wporządku. Zrestartowałem komputer i tu zdziwko...wszystko się włącza normalnie, ale w ikonka MSE jest czerwona, po otwarciu informacja, że "Ochrona w czasie rzeczywistym" jest wyłączona. No to włączyłem ją, jednak wyskoczył taki komunikat: Nietypowe zachowanie komputera po mbam. M.in. Vundo. No poza tym niby zaczął działać. Ponownie zrestartowałem komputer i znowu to samo, tym razem przy włączaniu ochrony w czasie rzeczywistym nie pojawił się komunikat. Po ponownym zrestartowaniu ikonka MSE w ogóle zniknęła z paska zadań. To co mi przychodzi do głowy to sprzeczność zadań MSE i mbam, ale mam spore wątpliwości co do tego, ponieważ a) mbam trzeba ręcznie uruchamiać gdy potrzeba(wersja darmowa) b)podobno mbam wspaniale współgra z innym antywirusami.
    Proszę o przemyślenia na temat zaistniałej sytuacji, a także informacje o ewentualnych dalszych działaniach. Jeśli dział jest zły proszę o przeniesienie.

    Pozdrawiam.

    Edit. Przeskanowałem przed chwilą za pomocą OTL. W załączniku logi.
  • Spec od komputerów
    Odinstaluj:
    Google Toolbar for Internet Explorer
    Java(TM) 6 Update 23
    Java(TM) 6 Update 7
    Adobe Reader 9.1.1 - Polish
    Mozilla Firefox (3.5.9)
    Softonic-Eng7 Toolbar
    Ask Toolbar Updater

    Uzyj AdwCleaner, opcja Delete.

    Zainstaluj:
    Foxit: http://ninite.com/foxit/
    Java: http://ninite.com/java/
    FF: http://ninite.com/firefox/

    Uruchom: sfc /scannow

    Daj nowy log z OTL, tym razem nie grzeb w opcjach skoro nikt o to nie prosil.
    Jedyne co masz zmienic to: wszyscy uzytkownicy, lop i purity.
  • Poziom 8  
    Dziękuję za odpowiedź. Teraz akcje:
    Odinstalowałem wszystkie podane programy z wyjątkiem "Ask Toolbar Updater". Przy próbach deinstalacji wyskakuje problem "Nie masz wystarczających uprawnień do odinstalowania elementu Ask Toolbar Updater. Skontaktuj się z administratorem systemu." Przełączyłem konto na administratora jednak nie mogę odnależć tam tego pliku. O ile na koncie standardowym jest on w Panel sterowania->Programy i funkcje oraz przy wpisaniu jego nazwy w start->wyszukiwanie pojawia się krótka lista plików zaiwerających te słowa, to na koncie admina po prostu nic nie wskazuje.
    Teraz AdwCleaner, log w załączniku.
    Zainstalowałem wszystkie programy, które Pan polecił.
    Uruchomienie sfc nie powiodło się ani z konta standardowego ani admina. Po próbach uruchomienia z wiersza poleceń wypisuje mi tylko zdanie "aby móc używać narzędzia sfc musisz być administratorem z uruchomioną sesją konsoli", nie jestem pewien jak tego dokonać.
    Nowy log OTL także w załączniku.
  • Spec od komputerów
    Wpisujesz w menu start: cmd i jak sie pojawi to klikasz na nim prawym przyciskiem myszy i wybierasz uruchomienie jako administrator i dopiero tam wpisujesz: sfc /scannow

    Sprobuj tez przeinstalowac MSE.

    Wykonaj skrypt w OTL:

    :OTL
    IE - HKU\S-1-5-21-2046627656-908865571-338726138-1001\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - No CLSID value found
    O3 - HKU\S-1-5-21-2046627656-908865571-338726138-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKU\S-1-5-21-2046627656-908865571-338726138-1000\..\Toolbar\WebBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found.
    O3 - HKU\S-1-5-21-2046627656-908865571-338726138-1001\..\Toolbar\WebBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found.
    O3 - HKU\S-1-5-21-2046627656-908865571-338726138-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKU\S-1-5-21-2046627656-908865571-338726138-1001\..\Toolbar\WebBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found.
    O4 - Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.0.lnk = File not found

    :Files
    C:\Users\Roman\AppData\Local\Temp*.html

    :Commands
    [emptytemp]

    Po wykonaniu wybierz w OTL Sprzatanie.
  • Poziom 8  
    Eh sorry za to nieogarnięcie, to było głupie. Znalazłem rozwiązanie szybko ale jak już miałem zmienić post napisał Pan odpowiedź.
    MSE został przeinstalowany, podany skrypt w OTL wykonałem, log w załączniku. Sprzątanie po OTL także wykonane. Czy mogę być w tym momencie pewnym, że niechciane programy zostały usunięte? Powinienem przeskanować komputer przy pomocy otl/mbam bądź innych?
    I jeszcze co z programem Ask Toolbar Updater?
  • Spec od komputerów
    Ask to byl pusty wpis z tego co widze, jezeli nadal jest w dodaj-usun to mozesz go usunac recznie z HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall przy pomocy regedit.

    Czy nadal wystepuje problem z MSE?

    Mozesz przeskanowac dla pewnosci przy pomocy mbam oraz cureit.
  • Poziom 8  
    Ok, jeśli chodzi o mse to wygląda na to, że włącza się jako jeden z ostatnich elementów po uruchomieniu komputera. Przy uruchomieniu pojawia się jego ikona oznajmiająca wyłączoną ochronę, potem włącza się skype, side bar itp. Pozostaje tak przez parę minut, 2-3 na pewno, po tym czasie włączyłem firefoxa i nagle się włączyła ochrona. To może być jakis visual bug, ponieważ niby z internetem połączenia też nie było według ikony, a przy włączaniu ff nagle przeskoczyło na "połączony". Przetestuję to jeszcze. Swoją drogą Ask toolbar updater nic korzystnego nie wnosi, tak? Można go spokojnie usuwać jak tylko się pojawi?

    Dodano po 10 [minuty]:

    Ask Toolbar nie było w tym rejestrze, znalazłem go w HKEY_USERS\~, wciąż go usunąć tam?
  • Pomocny post
    Spec od komputerów
    Ask zostaw w spokoju i tak juz go nie ma. To szkodliwy dodatek instalowany najczesciej razem z "darmowym" oprogramowaniem.
  • Poziom 8  
    Super, dziękuję za pomoc :)