Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Zablokowany antywirus, SystemaRev, prośba o sprawdzenie logów.

ClassicRock 03 Lip 2018 15:56 138 3
  • #1 03 Lip 2018 15:56
    ClassicRock
    Poziom 2  

    Dzień dobry, otóż mam problem z wirusami. Ostatnio moja dziewczyna poprosiła mnie żebym zerknął do jej laptopa bo zamula, wyskakują jakieś okienka itp. Standard pomyślałem, 10 minut roboty a plusika załapię. Zaznaczam, że jestem laikiem i korzystam tylko z własnego nikłego doświadczenia.Oczywiście masa syfu w przeglądarce i zbędnych programów. AdwCleaner i jazda! Jednak niektóre problemy przerosły mnie trochę:

    1. Coś blokuje antywirusa (Windows Defender) nie da się włączyć skanowania ani ochrony w czasie rzeczywistym, wyświetla się komunikat, że usługa jest kontrolowana jest przez organizację czy coś w tym stylu. Problem potrafię połowicznie rozwiązać, winny jest klucz w rejestrze (screen zamieszczam poniżej), po jego usunięciu wszystko wraca do normy, jednak tylko do czasu ponownego uruchomienia, po tym wraca wszystko do stanu blokady.
    2. Skanując system Defenderem (po odblokowaniu go) zawsze znajduje kilka trojanów, które oczywiście usuwam, jednak zawsze po restarcie wracają i cała zabawa od nowa.
    3. Winowajcą może być coś o nazwie SystemaRev, zlokalizowany na C, jest on wykrywany przez AdwCelaner jednak nie usuwa go nigdy (wrzucam logi z programu). Przy każdym uruchomieniu włącza się okno wiersza poleceń RevSystema app loader, które znika po 2 sekundach. NIe mogę usunąć tego folderu ręcznie, ponieważ jest używany przez inny program a tego nie potrafię zlokalizować w procesach.
    4. Program Malwarebytes niestety nie włącza się, w menadżerze widać, że się uruchamia jednak po sekundzie proces jest kasowany.

    Dołączam konieczne logi

    0 3
  • Pomocny post
    #2 03 Lip 2018 16:44
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:

    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
    Task: {0A77CD28-41B2-4936-BD88-8E7379C5D907} - System32\Tasks\RestoreRevTask => C:\Program Files\Common Files\restore_rev.bat [2018-06-24] () <==== UWAGA
    Task: {AB85DB92-9C30-469D-BE7D-56F8CA9EB735} - System32\Tasks\ArcVideo => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\ArcVideo\ArcVideo.dll",AnRYnP <==== UWAGA
    Hosts:
    HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== UWAGA
    HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== UWAGA
    HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== UWAGA
    HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== UWAGA
    HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== UWAGA
    HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== UWAGA
    HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== UWAGA
    HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== UWAGA
    HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== UWAGA
    HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== UWAGA
    HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== UWAGA
    HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== UWAGA
    HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== UWAGA
    HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== UWAGA
    HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== UWAGA
    HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== UWAGA
    HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== UWAGA
    HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== UWAGA
    HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== UWAGA
    HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== UWAGA
    HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== UWAGA
    HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== UWAGA
    HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== UWAGA




    HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== UWAGA
    HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== UWAGA
    HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== UWAGA
    HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== UWAGA
    HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== UWAGA
    HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== UWAGA
    HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== UWAGA
    HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== UWAGA
    HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== UWAGA
    HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== UWAGA
    HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== UWAGA
    HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== UWAGA
    HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== UWAGA
    HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== UWAGA
    HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== UWAGA
    HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== UWAGA
    HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== UWAGA
    HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== UWAGA
    HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== UWAGA
    HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== UWAGA
    HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== UWAGA
    HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== UWAGA
    GroupPolicy: Ograniczenia - Chrome <==== UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
    ProxyEnable: [S-1-5-21-2133720723-3618421211-620223182-1003] => Proxy [funkcja włączona]
    ProxyServer: [S-1-5-21-2133720723-3618421211-620223182-1003] => http=127.0.0.1:8080;https=127.0.0.1:8080
    ManualProxies: 1http=127.0.0.1:8080;https=127.0.0.1:8080
    HKU\S-1-5-21-2133720723-3618421211-620223182-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%6..._UVnVhXIuKTng4dzKl0KAdf8OKXZ0ECKyLwLSq&q={searchTerms}
    HKU\S-1-5-21-2133720723-3618421211-620223182-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE01&ocid=UE01DHP
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    Edge HomeButtonPage: HKU\S-1-5-21-2133720723-3618421211-620223182-1003 -> hxxp://hao.360.cn/?src=lm&ls=n4134a09b9b
    R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA
    S1 nlejmdaa; \??\C:\WINDOWS\system32\drivers\nlejmdaa.sys [X]
    2018-07-03 15:10 - 2018-07-03 15:22 - 000000000 ____D C:\Users\Agnieszka\Doctor Web
    2018-07-03 15:10 - 2018-07-03 15:10 - 000000000 ____D C:\ProgramData\Doctor Web
    2018-07-01 21:20 - 2018-07-01 21:20 - 000000000 ____D C:\AdwCleaner
    2018-07-01 19:05 - 2018-07-01 19:09 - 000929792 _____ C:\Users\Agnieszka\AppData\Local\sham.db
    2018-07-01 19:05 - 2018-07-01 19:05 - 007631872 _____ C:\Users\Agnieszka\AppData\Local\agent.dat
    2018-07-01 19:05 - 2018-07-01 19:05 - 001989228 _____ C:\Users\Agnieszka\AppData\Local\Consing.tst
    2018-07-01 19:05 - 2018-07-01 19:05 - 000140800 _____ C:\Users\Agnieszka\AppData\Local\installer.dat
    2018-07-01 19:05 - 2018-07-01 19:05 - 000126464 _____ C:\Users\Agnieszka\AppData\Local\noah.dat
    2018-07-01 19:05 - 2018-07-01 19:05 - 000070896 _____ C:\Users\Agnieszka\AppData\Local\Config.xml
    2018-07-01 19:05 - 2018-07-01 19:05 - 000005568 _____ C:\Users\Agnieszka\AppData\Local\md.xml

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 03 Lip 2018 17:01
    ClassicRock
    Poziom 2  

    Dziękuję Panu bardzo, wszystko wróciło do normy, Malwarebytes się odpalił normalnie, antywirus działa jak należy, SystemaRev usnął się bez problemu!

    0
  • #4 03 Lip 2018 17:02
    ClassicRock
    Poziom 2  

    Dziękuję Panu bardzo, wszystko wróciło do normy, Malwarebytes się odpalił normalnie, antywirus działa jak należy, SystemaRev usnął się bez problemu!

    Dodano po 1 [minuty]:

    Pomogło rozwiązanie użytkownika krzychupar.

    0