Dziwny problem z avastem

[blade81]

Witajcie

Wczoraj avast wyświetlił mi komunikat, że znalazł jakiegoś wirusa w katalogu WINDOWS i że aby go usunąć muszę ponownie uruchomić komputer. Po jego ponownym uruchomieniu i kliknięciu na ikonkę avasta w trayu wyświetla mi się to:

Enhenced Protection Mode

Attention!

Avast operates under enhanced protection mode. This is a temporary measure necessary for immediate response to the thread from virus. No action is required from you.

Znam angielski ale powyższego zdania nie rozumiem.

Nie mogę uruchomić avasta. Nie mogę go nawet odinstalować, bo wyświetla mi że nie ma go na liście Dodaj/Usuń programy. Nie ma też jego folderu w systemie tak jakby nie istniał. Nie mogę go zainstalować ponownie. Nie mogę korzystać z przywracania systemu ani z wyszukiwarki plików. Poza tym reszta komputera działa normalnie. Wygląda to dziwnie i podejrzanie jak jakiś wirus. Pierwszy raz mam takie coś. Pomożecie?

[dominik45]

mam identyczny problem

[Sevard]

Kolejna infekcja atakująca Avasta (cóż, nie jest nowiną, że ten antywirus nie potrafi nawet siebie dobrze ochronić, choć w tym przypadku nie tylko on). Niech zgadnę, instalowaliście jakąś dziwną wersję Flash Playera (najpewniej z Facebooka) i od tej pory macie problem, tak?

@dominik45 Załóż własny temat. W nim podaj to, o co proszę poniżej autora wątku.

Zróbcie co następuje:

1. Ściągnij i zainstaluj program Malwarebytes' Anti-Malware (wersja darmowa wystarczy). Uruchom go, zaktualizuj i wykonaj pełne skanowanie. Po zakończeniu skanowania powstanie plik tekstowy, czyli właśnie log.

2. Uruchom program OTL. W OTL pozaznaczaj opcje Infekcja LOP - Sprawdzanie oraz Infekcja Purity - Sprawdzanie, Skanuj wszystkich użytkowników (resztę zostaw bez zmian), poza tym we wszystkich sekcjach zaznacz opcję Użyj filtrowania i kliknij Skanuj.

Jeśli masz jakieś oprogramowanie emulujące napędy (Daemon Tools, Alcohol 120% itp), to wykonaj kolejny krok. Jeśli nie, to przejdź od razu do punktu 4.

3. Ściągnij program Defogger, uruchom go i wyłącz nim emulację napędów. Następnie uruchom ponownie system.

4. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej go i zapisz na dysku.

W przypadku problemów z GMERem spróbuj uruchomić go w trybie awaryjnym, jeśli i to się nie uda, to będzie trzeba użyć czegoś innego.

Na forum zamieść logi z Malwarebytes', OTL (otl.txt oraz extras.txt) i GMERa. Daj je albo jako załączniki do posta, albo wrzuć na wklej.org.

[blade81]

Trochę dużo roboty, ale zrobię to jak tylko wróce do domu. Dzięki, za szybko odpowiedź Sevard

Rzeczywiście zaczeło się od aktualizacji flash playera. Dostałem na GG linka od koleżanki do filmika na youTUBE. Nie mogłem go jednak obejrzeć, bo pojawiała się prośba o zainstalowanie tego flasha. Próbowałem go zainstalować, ale nic z tego. W zamian zaraz po tym pojawił się problem.

Już po raz drugi avast mnie zawodzi. Może przenieść się na coś podobnego, darmowego ale lepszego? Może to trochę poza tematem ale jakie inne antywirusy polecasz Sevard?

Wykonam te wszystkie kroki jakie mi wyżej poleciłeś Sevard i wkleje tu potem te logi.

Pozdrawiam!

[Sevard]

Dostałem na GG linka od koleżanki do filmika na youTUBE.

Sprawdź adres do tego filmiku raz jeszcze, bo moim zdaniem to nie był YouTube tylko coś co próbowało go imitować. Robak jest znany od dawna, tylko wcześniej atakował poprzez Facebooka, wygląda na to, że teraz atakuje również przez gg. Zawiadom koleżankę, że ona też mogła się zarazić i teraz rozsyła tego śmiecia.

Nie mogłem go jednak obejrzeć, bo pojawiała się prośba o zainstalowanie tego flasha. Próbowałem go zainstalować, ale nic z tego. W zamian zaraz po tym pojawił się problem.

Fałszywy FlashPlayer z jakąś wyimaginowaną bardzo wysoką wersją, żeby nikt się nie zorientował, że przecież on ma nowszą wersję.

Już po raz drugi avast mnie zawodzi. Może przenieść się na coś podobnego, darmowego ale lepszego? Może to trochę poza tematem ale jakie inne antywirusy polecasz Sevard?

Z prostszych w obsłudze polecam Avirę + jakiś firewall (polecam COMODO Firewall lub Outpost Firewall Free), z bardziej skomplikowanych rzeczy, ale i zarazem skuteczniejszych to COMODO Internet Security.

Wykonam te wszystkie kroki jakie mi wyżej poleciłeś Sevard i wkleje tu potem te logi.

Im szybciej to zrobisz tym lepiej, bo w stanie obecnym nieświadomie rozsiewasz tego śmiecia. Na pewno rozsyła to się przez Facebooka i wygląda na to, że również przez gg, być może przez inne komunikatory również.

[blade81]

No link który dostałem od koeżanki był dziwny bo to nie był link tylko adres IP. Ciąg cyferek wyglądający jakby przekierowywał mnie do strony zrobionej przez kogoś na localu, a nie na hostingu...

PS. Właśnie teraz robie pełne skanowanie Malwarebytes Anti-malwarem. Jak skończę to przejde do kolejnych kroków, a potem dodam te logi...

Ile trwa to pełne skanowanie? Chciałbym zdążyć dziś do 23...

[CTRL85]

@blade81 - zależy ile masz zajętego miejsca na dysku. U mnie skanuje gdzieś 250GB w 1/2 h

[riczardr]

Witam, mam ten sam problem co blade81, właśnie skanuje malwarebytesem i potem wykonam kolejne kroki. Mam takie pytanie; dlaczego blade ma potem wkleić tu te logi, pytam bo też chcę się pozbyć tego problemu i nie chce nic zrobić źle.

wykonałem 3 punkt ale teraz komputer nie chce mi się uruchomić w normalnym trybie, jedynie w awaryjnym. co robić? przywróciłem system do poprzedniego stanu w którym się mógł prawidłowo włączyć. czy w takim wypadku usunąć poprostu daemon toolsa?

[Sevard]

@up Załóż nowy temat tak jak należy. Logi trzeba wkleić, by ktoś mógł sprawdzić co siedzi w systemie i czy trzeba coś korygować. Skoro Defogger coś psuje, to trzeb odinstalować DT lub ręcznie wyłączyć usługę sptd, żeby nie fałszowała logów.

[blade81]

4. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej go i zapisz na dysku.

W przypadku problemów z GMERem spróbuj uruchomić go w trybie awaryjnym, jeśli i to się nie uda, to będzie trzeba użyć czegoś innego.

Na forum zamieść logi z Malwarebytes', OTL (otl.txt oraz extras.txt) i GMERa. Daj je albo jako załączniki do posta, albo wrzuć na wklej.org.

No właśnie tu jest problem. :\ Nie mogę uruchomić tego GMERA w żaden sposób, ani w trybie awaryjnym, ani w normalnym. Pojawia mi się bluescreen i muszę resetować kompa. Napisałeś, że trzeba będzie użyć czegoś innego. Zatem czego?

Nie wykonałem więc logów GMERA ale mam logi pozostałych aplikacji, które umieszczam niżej. Może to wystarczy i Gmer nie będzie potrzebny? Co mam dalej robić? Problem nie zniknął. Wciąż nie mogę korzystać z wyszukiwarki plików i przywracania systemu. Ten wirus musiał coś namieszać w rejestrze. Da się to na bank odkręcić edytując rejestr. Tylko jak?

Czekam na dalsze wskazówki...

Pozdrawiam!

EDIT: A może lepiej zbootować kompa z płyty z windowsem i wybrać z niej opcję naprawy windows?

mbam_log_2011_07_26__20_57_58_.txt

OTL.Txt

Extras.Txt

[Sevard]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL

SRV - File not found [Unknown | Stopped] --  -- (wxpdrivers)

SRV - File not found [Unknown | Stopped] --  -- (srvsysdriver32)

SRV - File not found [Unknown | Stopped] --  -- (srviecheck)

SRV - File not found [Unknown | Stopped] --  -- (srvbtcclient)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\wrc@avast.com: C:\Program Files\Alwil Software\Avast5\WebRep\FF

O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -  File not found

O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -  File not found

O4 - HKLM..\Run: [4574771.exe] C:\WINDOWS\TEMP\4574771.exe ()

O4 - HKLM..\Run: [tray_ico]  File not found

O4 - HKLM..\Run: [tray_ico1]  File not found

O4 - HKLM..\Run: [tray_ico2]  File not found

O4 - HKLM..\Run: [tray_ico3]  File not found

O4 - HKLM..\Run: [tray_ico4]  File not found

O4 - HKLM..\Run: [avast5]  File not found

O4 - HKU\S-1-5-21-117609710-1965331169-725345543-1003..\Run: [KiesTrayAgent]  File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0

O31 - SafeBoot: AlternateShell - services32.exe


:Files

@C:\Windows\Temp:temp

C:\Windows\update.*

C:\Windows\*.rar

C:\Windows\av_ico

C:\Windows\ufa

C:\Windows\phoenix

C:\Windows\geoiplist

C:\Windows\unrar.exe

C:\Windows\info1

C:\Windows\loader2.exe_ok

C:\WINDOWS\System32\drivers\yxlyhar.sys


:Commands

[resethosts]

[emptyflash]

[emptytemp]

Kliknij przycisk Wykonaj skrypt, by rozpocząć działanie programu. W pewnym momencie system zostanie zresetowany. Po restarcie powinien automatycznie pokazać się log z wynikiem działania programu. Jeśli log się nie pokaże, to sprawdź zawartość katalogu C:\_OTL.

2. Usuń uszkodzonego antywirusa (on i tak już jest trupem) za pomocą programu avast! Uninstall Utility. Narzędzie należy uruchomić w Trybie awaryjnym.

3. Wygeneruj log programem TDSSKiller. Na razie nie usuwaj niczego (opcja Skip).

4. Skoro GMER nie działa, to użyj programu rootrepeal.

1) Ściągnij program z podlinkowanej strony.

2) Uruchom go i przejdź do karty Report, tam kliknij opcję Scan.

3) W oknie, które się pojawi zaznacz wszystkie opcje.

4) W następnym oknie zaznacz tylko dysk systemowy.

5) Program będzie przechodził przez kolejne karty i będzie odnotowywał to co znajdzie.

6) Po zakończeniu skanowania pojawi się raport w oknie programu i równocześnie zostanie otwarty notatnik, w którym będziesz miał log.

5. Przeprowadź ponowne skanowanie programem OTL.

Na forum wrzuć logi wygenerowane w krokach 1, 3, 4 i 5.

[blade81]

Ile z tym było roboty, wolniej.

OK, mam wszystkie logi poniżej. Nie wiem tylko czy plik extras pochodzi z dzisiejszego skanowania, czy z tego poprzedniego które mi zleciłeś w swoim pierwszym poście w tym temacie Sevard. Plik OTL log to log z uruchomienia skryptu, a log OTL po kroku 5 to log ze skanowania dokonanego po punkcie piątym z Twojego poprzedniego posta. Avasta odinstalowałem w trybie awaryjnym bez problemów i teraz nie mam żadnego antywirusa. Co mam z tym zrobić? Zainstalować jakiegoś antywira ryzykując jego konflikt z innymi programami których kazałeś mi użyć, czy nie robić tego narażając kompa na ataki wirusów?

Mam nadzieję że to już koniec i nie będę musiał już nic skanować, ani instalować bo szczerze mówiąc zajmuje to kupę czasu.

Jeśli coś będzie nie tak, to napisz a umieszczę logi ponownie...

Czekam na kolejne kroki. Pozdrawiam!

EDIT: Przywracanie systemu i szukanie plików już działa, a więc chyba wszystko w porządku! ;]

07282011_170243_log_OTL.txt

TDSSKiller.2.5.11.0_28.07.2011_17.22.58_log.txt

RootRepeal_report_07_28_11__17_31_41_.txt

OTL.Txt_po_kroku_5.txt

Extras.Txt

[MikaelDorren]

@riczardr:

Sevard wyraźnie Cię o coś poprosił. Radziłbym się do tej prośby zastosować.

[riczardr]

@riczardr:

Sevard wyraźnie Cię o coś poprosił. Radziłbym się do tej prośby zastosować.

OK, wybaczcie, temat już założony.

[blade81]

No dobrze ponawiam pytanie: Czy wszystko już z moim systemem w porządku? Na to wygląda. Robiłem skan Avirą i nic nie wykrył. Wszystko wróciło do normy. Mam pytanie. Mam zainstalowany program Malwerebytes anti malware, Avirę i COMODO Firewall. Czy aż trzy takie programy, działające rezydentnie i ochraniające mój system w czasie rzeczywistym oraz uruchamiane ze startem Windows nie będą mi mocno spowalniać PCta? Pytam bo bardzo mi na tym zależy. Avast tego nie robił co było jedną z niewielu jego zalet.

[qwerton]

Polecam program Mcaffe internet security, nie spowalnia systemu. Malvarebytes antimalvare nie spowoduje obniżenia sprawności sstemu. Program uruchamia się dopiero wtedy gdy sam włączysz skaowanie. Skanowanie w czasie rzeczywistym dostępne wyłącznie w wersji płatnej udostępniono .

[Sevard]

No dobrze ponawiam pytanie: Czy wszystko już z moim systemem w porządku? Na to wygląda. Robiłem skan Avirą i nic nie wykrył. Wszystko wróciło do normy.

W logach już nic nie widzę, więc najpewniej wszystko jest już ok. Uruchom jeszcze raz OTL i kliknij opcję Sprzątanie. To wyczyści śmieci, które pozostały po działaniu tego programu.

Mam pytanie. Mam zainstalowany program Malwerebytes anti malware, Avirę i COMODO Firewall. Czy aż trzy takie programy, działające rezydentnie i ochraniające mój system w czasie rzeczywistym oraz uruchamiane ze startem Windows nie będą mi mocno spowalniać PCta?

Nie powinny, bo wszystkie trzy ochraniają coś innego, więc nie powinny się gryźć. Choć szczerze mówiąc, to ja nie za bardzo widzę sens w używaniu Malwarebytes' w wersji Pro (tylko ta wersja ma ochronę rezydentną), bo wersja Free poza ochroną w czasie rzeczywistym niczym się nie różni od wersji płatnej. Osobiście zostawiłbym ochronę Aviry i Comodo, a Malwarebytes' wyłączył i tylko raz na jakiś czas robiłbym skany tym programem.

Przeprowadź aktualizacje programów takich jak Internet Explorer, Java, Flash Player, Adobe Acrobat itp. (nie chce mi się sprawdzać co jest aktualne, a co nie, na pewno masz nieaktualną Javę oraz nieaktualne IE, jak znam życie, to pozostałe programy również wymagają aktualizacji). IE należy zaktualizować nawet jeśli z niego nie korzystasz, to jest bardzo istotne.

[blade81]

Przeprowadź aktualizacje programów takich jak Internet Explorer, Java, Flash Player, Adobe Acrobat itp. (nie chce mi się sprawdzać co jest aktualne, a co nie, na pewno masz nieaktualną Javę oraz nieaktualne IE, jak znam życie, to pozostałe programy również wymagają aktualizacji). IE należy zaktualizować nawet jeśli z niego nie korzystasz, to jest bardzo istotne.

Niestety to już nie wchodzi w rachubę. ;]

Mimo wszystko problem rozwiązany i wiem jak jemu zapobiegać w przyszłości. Dzięki za pomoc i temat (chyba) do zamknięcia, ale to ostatnie już, niech moderacja oceni sama...

Pozdrawiam!

[Sevard]

Niestety to już nie wchodzi w rachubę. ;]

To niech zacznie wchodzić, bo to są luki naprawdę sporych rozmiarów. IE 6 nie jest zwykłą przeglądarką. To jest narzędzie mocno związane z systemem i często jest uruchamiane gdy Ty nawet o tym nie wiesz.

[blade81]

Ale ja nie mam IE 6 już. Wszedłem w dodaj/usuń programy a potem w Dodaj/Usuń składniki systemu Windows i odznaczyłem tam IE. Poza tym, co masz na myśli pisząc "zaktualizuj do najnowszej wersji"? IE 9 nie działa na XP, którego mam, a jest najnowszą wersją.

[Sevard]

Internet Explorera nie da się usunąć do końca, dlatego trzeba go zaktualizować. Najnowszą wersją dla XP jest IE 8 i do tej wersji trzeba go zaktualizować. Obecnie masz zainstalowaną wersję IE 6 (patrz logi).