Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Nie można wejść na strony z antywirusami

jaca121212 16 Sty 2018 11:25 738 37
  • #1 16 Sty 2018 11:25
    jaca121212
    Poziom 4  

    Witam, znajomy ma problem z laptopem nie może wejść na strony z antywirusami jak i też nie może otworzyć ccleaner programu. Czyściłem Adwcleaner wyszło około 200 robaków kilka razy później skanowałem tak samo tym samym programem aż do uzyskania do 0 zagrożeń. Ale nadal nie można wejść na strony z antywirusami tak jakby nadal coś go blokowało. Przeskanowałem Combofixem i wyszło taki log. Także na niektórych stronach jest problem z certyfikatami jak i zabezpieczonymi stronami mniej więcej taki komunikat jest Nie można wejść na strony z antywirusami
    Co mogę jeszcze zrobić, sprawdzić.

    Proszę nie zakładać nowego wątku. Wydzieliłem obecny jako nowy temat.
    RADU23

    0 29
  • #2 16 Sty 2018 11:30
    Kolobos
    Spec od komputerów

    @jaca121212 nie uzywaj comobfix, nie podczepiaj sie pod archiwalne watki! Utworz osobny watek i zamiesc wymagane logi z FRST w zalaczniku.

    0
  • #5 16 Sty 2018 12:13
    Kolobos
    Spec od komputerów

    Odinstaluj: Spybot - Search & Destroy

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    ContextMenuHandlers1: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => C:\Program Files\Spybot - Search & Destroy 2\SDECon32.dll [2014-06-24] (Safer-Networking Ltd.)
    ContextMenuHandlers6: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => C:\Program Files\Spybot - Search & Destroy 2\SDECon32.dll [2014-06-24] (Safer-Networking Ltd.)
    Task: C:\WINDOWS\Tasks\Check for updates (Spybot - Search & Destroy).job => C:\Program Files\Spybot - Search & Destroy 2\SDUpdate.exe
    Task: C:\WINDOWS\Tasks\Refresh immunization (Spybot - Search & Destroy).job => C:\Program Files\Spybot - Search & Destroy 2\SDImmunize.exe
    Task: C:\WINDOWS\Tasks\Scan the system (Spybot - Search & Destroy).job => C:\Program Files\Spybot - Search & Destroy 2\SDScan.exe
    2018-01-15 20:03 - 2014-05-13 12:04 - 000109400 _____ () C:\Program Files\Spybot - Search & Destroy 2\snlThirdParty150.bpl
    2018-01-15 20:03 - 2014-05-13 12:04 - 000416600 _____ () C:\Program Files\Spybot - Search & Destroy 2\DEC150.bpl
    2018-01-15 20:03 - 2014-05-13 12:04 - 000167768 _____ () C:\Program Files\Spybot - Search & Destroy 2\snlFileFormats150.bpl
    2018-01-15 20:03 - 2012-08-23 10:38 - 000574840 _____ () C:\Program Files\Spybot - Search & Destroy 2\sqlite3.dll
    2018-01-15 20:03 - 2012-04-03 17:06 - 000565640 _____ () C:\Program Files\Spybot - Search & Destroy 2\av\BDSmartDB.dll
    (Safer-Networking Ltd.) C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe
    (Safer-Networking Ltd.) C:\Program Files\Spybot - Search & Destroy 2\SDScan.exe
    HKLM\...\Run: [SDTray] => C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe [4101576 2014-06-24] (Safer-Networking Ltd.)
    BootExecute: autocheck autochk * sdnclean.exe
    ManualProxies:
    RemoveProxy:
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <==== UWAGA
    SearchScopes: HKLM -> DefaultScope - brak wartości
    FF user.js: detected! => C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\r975zui0.default\user.js [2016-02-28]
    C:\WINDOWS\system32\cdyxgl.dll
    S2 sawdgs; C:\WINDOWS\system32\cdyxgl.dll [137240 2006-03-02] () [Brak podpisu cyfrowego]
    R2 SDScannerService; C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe [1738168 2014-06-24] (Safer-Networking Ltd.)
    R2 SDUpdateService; C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe [4088608 2016-09-21] (Safer-Networking Ltd.) [Brak podpisu cyfrowego]
    S2 SDWSCService; C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe [235984 2016-11-24] (Safer-Networking Ltd.) [Brak podpisu cyfrowego]
    R3 catchme; \??\C:\ComboFix\catchme.sys [X]
    U3 mbr; \??\C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\mbr.sys [X]
    NETSVC: sawdgs -> C:\WINDOWS\system32\cdyxgl.dll ()




    2018-01-16 10:59 - 2018-01-16 10:59 - 000010170 _____ C:\ComboFix.txt
    2018-01-16 10:39 - 2011-06-26 07:45 - 000256000 _____ C:\WINDOWS\PEV.exe
    2018-01-16 10:39 - 2010-11-07 18:20 - 000208896 _____ C:\WINDOWS\MBR.exe
    2018-01-16 10:39 - 2009-04-20 05:56 - 000060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
    2018-01-16 10:39 - 2000-08-31 01:00 - 000518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
    2018-01-16 10:39 - 2000-08-31 01:00 - 000406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
    2018-01-16 10:39 - 2000-08-31 01:00 - 000212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
    2018-01-16 10:39 - 2000-08-31 01:00 - 000098816 _____ C:\WINDOWS\sed.exe
    2018-01-16 10:39 - 2000-08-31 01:00 - 000080412 _____ C:\WINDOWS\grep.exe
    2018-01-16 10:39 - 2000-08-31 01:00 - 000068096 _____ C:\WINDOWS\zip.exe
    2018-01-16 10:38 - 2018-01-16 10:59 - 000000000 ____D C:\Qoobox
    2018-01-16 10:38 - 2018-01-16 10:59 - 000000000 ____D C:\ComboFix
    2018-01-15 20:06 - 2015-07-28 17:52 - 000821920 _____ (Safer-Networking Ltd. ) C:\Documents and Settings\All Users\Pulpit\Post Win10 Spybot-install.exe
    2018-01-15 20:03 - 2018-01-16 11:25 - 000000000 ____D C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
    2018-01-15 20:03 - 2018-01-16 10:56 - 000000644 _____ C:\WINDOWS\Tasks\Check for updates (Spybot - Search & Destroy).job
    2018-01-15 20:03 - 2018-01-15 20:27 - 000000000 ____D C:\Program Files\Spybot - Search & Destroy 2
    2018-01-15 20:03 - 2018-01-15 20:06 - 000065536 _____ C:\WINDOWS\system32\config\SpybotSD.evt
    2018-01-15 20:03 - 2018-01-15 20:03 - 000001842 _____ C:\Documents and Settings\All Users\Menu Start\Programy\Spybot-S&D Start Center.lnk
    2018-01-15 20:03 - 2018-01-15 20:03 - 000001836 _____ C:\Documents and Settings\All Users\Pulpit\Spybot-S&D Start Center.lnk
    2018-01-15 20:03 - 2018-01-15 20:03 - 000000616 _____ C:\WINDOWS\Tasks\Refresh immunization (Spybot - Search & Destroy).job
    2018-01-15 20:03 - 2018-01-15 20:03 - 000000446 _____ C:\WINDOWS\Tasks\Scan the system (Spybot - Search & Destroy).job
    2018-01-15 20:03 - 2018-01-15 20:03 - 000000000 ____D C:\Documents and Settings\All Users\Menu Start\Programy\Spybot - Search & Destroy 2
    2018-01-15 20:03 - 2013-09-20 10:49 - 000018968 _____ (Safer Networking Limited) C:\WINDOWS\system32\sdnclean.exe
    2018-01-15 15:50 - 2018-01-16 11:03 - 000000000 ____D C:\AdwCleaner
    C:\WINDOWS\system32\Drivers\oknmn.sys
    2018-01-05 19:46 - 2018-01-16 11:36 - 000005109 _____ C:\WINDOWS\system32\Drivers\oknmn.sys

    W FRST wybierz Napraw.

    Wykonaj naprawe trybu awaryjnego, tak jak masz to podane tutaj:
    https://www.fixitpc.pl/topic/4-uszkodzony-tryb-awaryjny-bsod-0x0000007b/
    (motoda 2)

    Zamiesc log z TDSSKiller oraz nowe logi z FRST, ze skanowania.

    0
  • #6 16 Sty 2018 18:11
    jaca121212
    Poziom 4  

    Napiszcie mi czy z tym programem spybot się gryzą . Zaznaczę że wczoraj został zainstalowany spy bot a z komputerem działao się tak przed zainstalowaniem tego spy botem.

    Wrzucę swoje logi z kompa proszę czy coś trzeba naprawić jedynie co tylko komunikat bit... okno dialogowe podczas wyłączania komputera się pojawia .

    0
  • #7 16 Sty 2018 18:29
    Kolobos
    Spec od komputerów

    Nie, Spybot to bezuzyteczny program.

    Odinstaluj: Spybot - Search & Destroy

    Fixlist.txt dla FRST:
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
    ContextMenuHandlers1-x32: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDECon32.dll [2017-05-23] (Safer-Networking Ltd.)
    ContextMenuHandlers6-x32: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDECon32.dll [2017-05-23] (Safer-Networking Ltd.)
    Task: {0E97E039-372C-4F73-A340-78E25D5D6E49} - System32\Tasks\Opera scheduled Autoupdate 1516044187 => C:\Program Files\Opera\launcher.exe [2018-01-10] (Opera Software)
    Task: {2415C2CD-29AC-49BA-98C2-133C587AF0A1} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe [2017-05-23] (Safer-Networking Ltd.)
    Task: {3534A5F1-9A4F-4FAD-AF20-870AB23DE937} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe [2017-05-23] (Safer-Networking Ltd.)
    Task: {6455DA49-4687-4DE4-B58B-FECA8EC08DD3} - System32\Tasks\{938E791E-E6D9-49A3-83AE-32043A37CC2B} => C:\Windows\system32\pcalua.exe -a "C:\Users\Jaca121212\Desktop\FC MpTool.exe" -d C:\Users\Jaca121212\Desktop
    ShortcutWithArgument: C:\Users\Jaca121212\Downloads\SM3267_V2.5.36\U+¦+¬-·=°.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.upantool.com/?top
    Hosts:
    (Safer-Networking Ltd.) C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe
    HKLM-x32\...\Run: [SDTray] => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe [4174464 2017-05-23] (Safer-Networking Ltd.)
    Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
    HKLM\SYSTEM\CurrentControlSet\Services\aswSP <==== ATTENTION (Rootkit!)
    HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt <==== ATTENTION (Rootkit!)
    HKLM\SYSTEM\CurrentControlSet\Services\aswSnx <==== ATTENTION (Rootkit!)
    U4 eabfiltr; no ImagePath
    S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X]
    S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2018-01-16 09:13 - 2018-01-16 09:14 - 000457896 _____ (AVAST Software) C:\Windows\system32\Drivers\aswb7bcad90e02f3e55.tmp
    2018-01-16 09:13 - 2018-01-16 09:14 - 000146648 _____ (AVAST Software) C:\Windows\system32\Drivers\aswe8edd8bca7ff88de.tmp
    2018-01-16 09:13 - 2018-01-16 09:12 - 000457400 _____ (AVAST Software) C:\Windows\system32\Drivers\aswSP.sys.151609046560409
    2018-01-16 09:13 - 2018-01-16 09:12 - 000358672 _____ (AVAST Software) C:\Windows\system32\Drivers\asw2414b787886edf93.tmp
    2018-01-16 09:13 - 2018-01-16 09:12 - 000204456 _____ (AVAST Software) C:\Windows\system32\Drivers\aswdfd8f838822546c5.tmp
    2018-01-16 09:13 - 2018-01-16 09:12 - 000185096 _____ (AVAST Software) C:\Windows\system32\Drivers\asw63fc9cff0f97b763.tmp
    2018-01-16 09:13 - 2018-01-16 09:12 - 000146664 _____ (AVAST Software) C:\Windows\system32\Drivers\aswMonFlt.sys.151609046560409
    2018-01-16 09:13 - 2018-01-16 09:12 - 000110336 _____ (AVAST Software) C:\Windows\system32\Drivers\asw87bcc1d2f74c51b3.tmp
    2018-01-16 09:13 - 2018-01-16 09:12 - 000084384 _____ (AVAST Software) C:\Windows\system32\Drivers\asw30edb73bc88b31fd.tmp
    2018-01-16 09:13 - 2018-01-16 09:12 - 000046976 _____ (AVAST Software) C:\Windows\system32\Drivers\asw1a6e6c00dc9b79a5.tmp
    2018-01-16 09:13 - 2018-01-16 09:11 - 001025176 _____ (AVAST Software) C:\Windows\system32\Drivers\asw77c5947e265cfdaf.tmp
    2018-01-16 09:13 - 2018-01-16 09:11 - 000343768 _____ (AVAST Software) C:\Windows\system32\Drivers\aswf7794f8ed6b520ae.tmp
    2018-01-16 09:13 - 2018-01-16 09:11 - 000321512 _____ (AVAST Software) C:\Windows\system32\Drivers\asw7d095b4b60b11ab2.tmp
    2018-01-16 09:13 - 2018-01-16 09:11 - 000199448 _____ (AVAST Software) C:\Windows\system32\Drivers\asw8001d79bb39ff96e.tmp
    2018-01-16 09:13 - 2018-01-16 09:11 - 000149344 _____ (AVAST Software) C:\Windows\system32\Drivers\asw20439ccfdb693071.tmp
    2018-01-16 09:13 - 2018-01-16 09:11 - 000057696 _____ (AVAST Software) C:\Windows\system32\Drivers\asw4112e384247fbb9a.tmp
    2018-01-16 09:08 - 2018-01-16 09:12 - 000000000 ____D C:\ProgramData\AVAST Software
    2018-01-15 19:41 - 2018-01-15 19:42 - 046525608 _____ (Safer-Networking Ltd. ) C:\Users\Jaca121212\Downloads\spybot-2-4.exe
    2018-01-15 19:40 - 2018-01-15 19:40 - 005660870 _____ (Swearware) C:\Users\Jaca121212\Downloads\ComboFix.exe

    > bit... okno dialogowe podczas wyłączania komputera się pojawia .

    Napisz to jeszcze raz i podaj co DOKLADNIE sie wyswietla.


    Wykonaj to co podalem wczesniej zamiast zamieszczac logi z innego komputera.

    0
  • #9 16 Sty 2018 19:04
    Kolobos
    Spec od komputerów

    Miales zamiescic logi z pierwszego komputera.

    Jezeli na tym drugim masz taki sam problem tez zamiesc log z TDSSKiller.

    Fixlog jest zbedny. Mozesz zainstalowac dowolny antywirus.

    0
  • #10 17 Sty 2018 09:23
    jaca121212
    Poziom 4  

    Może jeszcze dzisiaj wstawię ten log z drugiego kompa najpóźniej jutro. Bo nie mam u siebie tego kompa tylko znajmy ma go u siebie.
    Dodano po 14 [godziny] 11 [minuty]:
    Na tym komputerze znajomego nie można ukończyć programem procesu . Jest plik Fixlist.txt w tym samym folderze co FRST. Daję napraw i pokazuje się błąd/ komunikat.
    Nie można wejść na strony z antywirusami
    Mówiłem mu aby wszedł przez tryb awaryjny ale jest lipa bo blue screen się pojawia
    Nie można wejść na strony z antywirusami
    Więc jak naprawić ten błąd.

    Znajomy ma też drugi komputer na nim są takie cyrki jak się wejdzie w przeglądarkę google chrome i nie tylko na tej ale także na innej
    Nie można wejść na strony z antywirusamiNie można wejść na strony z antywirusamiNie można wejść na strony z antywirusamiNie można wejść na strony z antywirusamiNie można wejść na strony z antywirusami
    Internet jest dzieje się to tak na tym komputerze z Windows XP . Jakieś pomysły co by tu zrobić aby komputer mógł normalnie funkcjonować.
    Jeśli chodzi o logi z programu TDSSKiller to później będę je miał ale zanim tutaj napisałem z problemem to zrobiliśmy scan komputera tym programem https://support.kaspersky.com/pl/viruses/rescuedisk Trochę zdziwienie bo wyszło około wszystkiego 4 000 obiektów infekowanych.

    0
  • #11 17 Sty 2018 09:31
    Kolobos
    Spec od komputerów

    Co dokladnie jest w Fixlist? Wklej ten, ktory zostal utworzony.

    Mozliwe, ze przeszkadzaja mu wpisy:
    HKLM\SYSTEM\CurrentControlSet\Services\aswSP <==== ATTENTION (Rootkit!)
    HKLM\SYSTEM\CurrentControlSet\Services\aswMonFlt <==== ATTENTION (Rootkit!)
    HKLM\SYSTEM\CurrentControlSet\Services\aswSnx <==== ATTENTION (Rootkit!)

    Wykonaj Fixlist.txt bez nich.

    Tryb awaryjny nie dziala, to chyba logiczne skoro podalem instrukcje naprawy...


    Co do XP i certyfikatow to trzeba zmienic przegladarke na Firefox, do tego wgrac certyfikaty:
    https://support.globalsign.com/customer/porta...gn-root-certificate---windows-xp-windows-2000
    Trzeba wykonac reczna aktualizacje.

    0
  • #13 17 Sty 2018 10:01
    Kolobos
    Spec od komputerów

    Tak jak napisalem wczesniej:
    > Fixlog jest zbedny.

    Miales za to zamiescic nowe logi ze skanowania z FRST, oraz TDSSKiller, wiec moze pisz jak juz bedziesz mial WSZYSTKO zamiast co chwile pisac o innym komputerze lub zamieszczac na raty.

    > Trochę zdziwienie bo wyszło około wszystkiego 4 000 obiektów infekowanych.

    Wszystko zalezy od tego co dokladnie wykrylo. Czasem to masa wpisow w rejestrze, a czasem zainfekowane pliki (przy infekcjach plikow wykonywalnych moze byc nawet wiecej).

    0
  • #14 17 Sty 2018 11:33
    jaca121212
    Poziom 4  

    Logi z 2 programów aktualne
    Jeśli Chodzi o tryb awaryjny to pomogło nadpisanie rejestru działa Ok.
    Jeśli chodzi o te certyfikaty to pisze komunikat taki "ten certyfikat jest już zainstalowany jako certyfikat organu certyfikacji".
    Kolejny błąd się pojawił jak wejdzie się w przeglądarkę gogle chrome piszę tak "nie znaleziono punktu wejścia procedury strnlen w bibliotece msvcrt.dll"
    Nawet on nie został ściągnięty tylko jak się w ten link kliknęło to już taki komunikat wyskoczył.
    ponowny log z TDSSKiller o nazwie log kasperski

    0
  • #15 17 Sty 2018 12:20
    Kolobos
    Spec od komputerów

    > Nawet on nie został ściągnięty tylko jak się w ten link kliknęło to już taki komunikat wyskoczył.

    To po co klikasz? Masz ZAPISAC certyfikat na dysku:
    http://secure.globalsign.net/cacert/Root-R1.crt
    Nastepnie aktualizowac tak jak masz podane na stronie.

    Dlaczego podany wczesniej Fixlist nie zostal w ogole wykonany? Znaczy, zostal ale nie na tym komputerze! Fixlist podany dla pierwszego komputera wykonales na swoim, tylko po co?

    Fixlist.txt dla pierwszego komputera, tego ktorego dotyczy ten watek:
    CloseProcesses:
    HKLM\...\RunOnce: [{9B13DDD1-470A-4CBA-8CB8-04BF39494CE8}] => cmd.exe /C start /D "C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\{9B13DDD1-470A-4CBA-8CB8-04BF39494CE8}" /B {F92E082E-E35B-431A-AB03-DC6F150F1909}.exe -accepteula -accepteulaksn -postboot <==== UWAGA
    BootExecute: autocheck autochk * sdnclean.exe
    AlternateShell:
    FF user.js: detected! => C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\r975zui0.default\user.js [2016-02-28]
    S2 sawdgs; C:\WINDOWS\system32\cdyxgl.dll [137240 2006-03-02] () [Brak podpisu cyfrowego]
    R2 NdisFileServices32; C:\WINDOWS\system32\drivers\oknmn.sys [5109 2018-01-17] () [Brak podpisu cyfrowego]
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    NETSVC: sawdgs -> C:\WINDOWS\system32\cdyxgl.dll ()
    C:\WINDOWS\system32\cdyxgl.dll
    2018-01-16 10:59 - 2018-01-16 10:59 - 000010170 _____ C:\ComboFix.txt
    2018-01-16 10:39 - 2011-06-26 07:45 - 000256000 _____ C:\WINDOWS\PEV.exe
    2018-01-16 10:39 - 2010-11-07 18:20 - 000208896 _____ C:\WINDOWS\MBR.exe
    2018-01-16 10:39 - 2009-04-20 05:56 - 000060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
    2018-01-16 10:39 - 2000-08-31 01:00 - 000518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
    2018-01-16 10:39 - 2000-08-31 01:00 - 000406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
    2018-01-16 10:39 - 2000-08-31 01:00 - 000212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
    2018-01-16 10:39 - 2000-08-31 01:00 - 000098816 _____ C:\WINDOWS\sed.exe
    2018-01-16 10:39 - 2000-08-31 01:00 - 000080412 _____ C:\WINDOWS\grep.exe
    2018-01-16 10:39 - 2000-08-31 01:00 - 000068096 _____ C:\WINDOWS\zip.exe
    2018-01-16 10:38 - 2018-01-16 10:59 - 000000000 ____D C:\Qoobox
    2018-01-16 10:38 - 2018-01-16 10:59 - 000000000 ____D C:\ComboFix
    2018-01-15 15:50 - 2018-01-16 11:03 - 000000000 ____D C:\AdwCleaner
    2018-01-05 19:46 - 2018-01-17 11:20 - 000005109 _____ C:\WINDOWS\system32\Drivers\oknmn.sys


    Rootkit nadal jest aktywny, najlepiej uruchomic FRST z poziomu WinRe:
    https://www.fixitpc.pl/topic/54-winre-metody-startu-opis-funkcji-naprawczych/
    i tam wykonac podany Fixlist.

    Pozniej uzyc ponownie TDSSKiller i zamiesc log + nowe logi z FRST, wykonane w trybie awaryjnym.

    0
  • #17 17 Sty 2018 18:19
    Kolobos
    Spec od komputerów

    Log z TDSS jest obciety.

    Zamiesc ponownie wszystkie logi z trybu normalnego.

    Czy Fixlist zostal wykonany z poziomu WinRE? Z tego co widze to chyba nie skoro infekcja nadal jest widoczna w logach.

    0
  • #18 17 Sty 2018 18:27
    jaca121212
    Poziom 4  

    Logi z trybu normalnego.

    EDIT

    Kolobos napisał:
    Log z TDSS jest obciety.

    Zamiesc ponownie wszystkie logi z trybu normalnego.

    Czy Fixlist zostal wykonany z poziomu WinRE? Z tego co widzę to chyba nie skoro infekcja nadal jest widoczna w logach.

    Tak został uruchomiony w trybie awaryjnym. Pomyślnie został załadowany.

    Scaliłem. RADU23

    0
  • #19 17 Sty 2018 18:39
    Kolobos
    Spec od komputerów

    Ok, to nowa wersja wirusa Sality, kotry infekuje pliki exe. Nalezy najpierw naprawic/usunac zainfekowane pliki.

    Uzyj pare razy: https://www.fixitpc.pl/picasso/download/malware/sk.zip az niczego nie bedzie wykrywal.

    Pozniej skan przy pomocy Mbam oraz Cureit:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    Na koniec Fixlist.txt dla FRST:
    C:\WINDOWS\system32\Drivers\oknmn.sys
    C:\WINDOWS\System32\wmdrtc32.dll
    C:\WINDOWS\System32\wmdrtc32.dl_
    AlternateShell:
    FF user.js: detected! => C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\r975zui0.default\user.js [2016-02-28]
    R2 NdisFileServices32; C:\WINDOWS\system32\drivers\oknmn.sys [5109 2018-01-17] () [Brak podpisu cyfrowego]

    0
  • #21 17 Sty 2018 21:59
    Kolobos
    Spec od komputerów

    Infekcja nadal jest aktywna.

    Czy https://www.fixitpc.pl/picasso/download/malware/sk.zip nadal cos wykrywa?

    Czy skanowanie przy pomocy Cureit Livecd/usb zostalo w ogole wykonane?

    Fixlist.txt:
    SearchScopes: HKLM -> DefaultScope - brak wartości
    2018-01-17 21:36 - 2018-01-17 21:42 - 000005109 _____ C:\WINDOWS\system32\Drivers\oknmn.sys
    2018-01-17 21:36 - 2018-01-17 21:41 - 000039936 _____ C:\WINDOWS\system32\wmfptc32.dll
    2018-01-17 21:36 - 2018-01-17 21:41 - 000026066 ____H C:\WINDOWS\system32\wmfptc32.dl_
    2018-01-15 20:06 - 2015-07-28 17:52 - 000821920 _____ (Safer-Networking Ltd. ) C:\Documents and Settings\All Users\Pulpit\Post Win10 Spybot-install.exe
    2018-01-15 20:03 - 2018-01-16 20:08 - 000000000 ____D C:\Program Files\Spybot - Search & Destroy 2
    2018-01-15 20:03 - 2018-01-16 20:07 - 000000000 ____D C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
    2018-01-15 20:03 - 2018-01-15 20:06 - 000065536 _____ C:\WINDOWS\system32\config\SpybotSD.evt

    0
  • #24 17 Sty 2018 23:27
    jaca121212
    Poziom 4  

    log z programu co wyżej mi podałeś link oraz log z programu FRST

    Cytat:
    Virus.Win32.Sality.aa,ae,ag,bh removing tool, Kaspersky Lab 2010
    version 1.3.6.0 Nov 12 2010 10:13:11
    scanning threads ...

    scanning processes ...

    fixing registry ...

    Monitoring thread started
    SalityRegCure: Restoring general registry keys
    SalityRegCure: Fixing system.ini

    scanning drives ...
    scanning C:\ ...
    scanning D:\ ...


    Monitoring thread stopped

    completed
    Infected files: 0
    Infected processes: 0
    Infected threads: 0
    Cured files: 0
    Will be cured on reboot: 0
    Executed registry scripts: 1
    Aby kontynuować, naciśnij dowolny klawisz . . .
















    0
  • #25 18 Sty 2018 09:16
    Kolobos
    Spec od komputerów

    Kolejny Fixlist.txt:
    R4 NdisFileServices32; \??\C:\WINDOWS\system32\drivers\oknmn.sys [X]
    2018-01-17 23:23 - 2018-01-17 23:23 - 000039936 _____ C:\WINDOWS\system32\wmfptc32.dll
    2018-01-17 23:23 - 2018-01-17 23:23 - 000026066 ____H C:\WINDOWS\system32\wmfptc32.dl_

    Po wykonaniu zamiesc Fixlog oraz nowy Frst.txt.

    Sprawdz czy uda Ci sie juz zainstalowac antywirus.

    0
  • #26 18 Sty 2018 13:29
    jaca121212
    Poziom 4  

    to są świeże logi :D
    Oraz kilka błędów jakie występują :
    - gdy uruchomi się komputer wyskakuje okno z komunikatem
    Nie można wejść na strony z antywirusami
    - Jeśli raz otworzę przeglądarkę google chromę i później ją zamknę to ponownie muszę zrestartować komputer aby przeglądarka się znów dała otworzyć,
    - Od samego początku nie można było zainstalować automatycznie sterowników do telefonu. Gdy podłącze telefon brak zainstalowanych sterowników.

    0
  • #27 18 Sty 2018 14:42
    Kolobos
    Spec od komputerów

    Widze, ze to nie ma sensu. Reinstaluj system, pamietaj zeby usunac wszystkie pliki exe zgrywane z tego komputera. Wystarczy, ze zostanie jeden zainfekowany plik i wszystko trzeba bedzie robic ponownie.

    0
  • #28 18 Sty 2018 14:49
    jaca121212
    Poziom 4  

    Czyli nie ma możliwości usunięcia tego wirusa lub pliku z kompa bez instalacji na nowo systemu. Zawsze jak instaluje system nowy to usuwam wszystkie partycję a następnie tworzę na nowo dwie. C, D

    0
  • #29 18 Sty 2018 14:56
    Kolobos
    Spec od komputerów

    Mozliwosc jest, ale nie ma to sensu skoro system i tak zostal juz uszkodzony.

    0
  • #30 18 Sty 2018 15:07
    jaca121212
    Poziom 4  

    jest kolejny problem, niektóre sterowniki komputera które były pobierane z strony producenta są teraz puste jakby pousuwało w nich jakieś pliki.
    Chciałem skopiować jeden plik w inne miejsce i wyskoczyło takie coś.....
    Sorry za jakość zdjęć :D

    0