Windows 7 Ultimate - System Windows nie może odnaleźć pliku Windows Defender...

[matidop]

Witajcie.Nie było mnie 3 tyg. prawie przed kompem.Z racji tego że nikt do niego nie siada zgromadziły się aktualizację do Win 7 i myślę że to jest powodem następującego błędu tuż po starcie systemu:

Pomożecie?Nie da się tego zamknąć!

Przeniosłem temat do odpowiedniejszego działu.-org

[Gość teofi7]

Próbowałeś ręcznie szukać tego pliku? Może używasz jakieś modyfikacji? Jeśli to zaiste tylko brakujący plik, to jeśli nie jest zbyt duży - to mogę Ci go podesłać.

[matidop]

Chodzi o to że antywirus go usunął czego zapomniałem dodać.Uznał że to odmiana wirusa i go wyrzucił.

2010-08-19 19:54:31

Skaner przy uruchamianiu plik C:\Program Files\My applications\Windows Defender Apps Control.exe / Odmiana wirusa Win32/Rootkit.Agent.NTL koń trojański / Wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie

[Sevard]

Windows Defender Apps Control.exe to szkodnik podszywający się pod Windows Defender i bardzo dobrze, że został usunięty.

Zamieść logi z OTL oraz GMERa (jeśli masz wersję x64 systemu, to wystarczą logi z OTL).

[matidop]

Mam niestety x86 albo x32 jak kto woli.Logi dam za jakieś 30 minut.

LOG OTL : http://wklej.org/hash/f32082a4fb2/

Nie wiem jakich ustawień było trzeba użyć więc wybrałem prawie wszędzie "Wszystko" tylko prawej strony nie ruszałem.

LOG GMER : http://wklej.org/hash/5c01abad0a4/

Wszystko było zaznaczone.

[Sevard]

Ustawienie domyślne, byłyby ok. W takim razie wygeneruj logi z OTL raz jeszcze, tylko tym razem wybierz gdzie się da Użyj filtrowania, zaznacz też opcje Infekcja LOP, Infekcja Purity oraz Skanuj wszystkich użytkowników, a następnie kliknij Skanuj.

Wygeneruj również nowy log z GMERa, tylko najpierw usuń oprogramowanie emulujące napędy oraz sterownik spdt.sys przy pomocy narzędzia, które znajdziesz na tej stronie.

[matidop]

Nowy LOG z OTL : http://wklej.org/hash/a94e8d5aee5/

Nowy LOG z GMER`a : http://wklej.org/hash/ca29942bd96/

Po usunięciu Dameona i SPDT

[Sevard]

Ja nadal widzę spdt.sys w logu. Zresetuj komputer i wtedy czytaj dalej.

Szkodnik o którym mówimy jest rootkitem, który dosyć dobrze się maskuje, ale zaraz się do niego dobierzemy.

1. Kliknij Start, w polu szukania wpisz regedit, następnie wejdź do Klucza:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Dwukrotnie kliknij na wartość Startup i przepisz na forum wartość jaką tam znajdziesz.

2. Przeczytaj dokładnie tą instrukcję, a następnie ściągnij i uruchom ComboFixa (linki w instrukcji), tylko stosuj się dokładnie do instrukcji z linku. Następnie wklej log, który zostanie wygenerowany przez ten program. Podczas pracy ComboFixa nie wolno nic robić, a w czasie jego pracy antywirus musi być wyłączony!

3. Następnie wygeneruj nowy log z GMERa, tylko tym razem zmień jego ustawienia w sposób następujący sposób następujący: w karcie Rootkit/Malware po prawej stronie zaznacz tylko Usługi (pozostałe pola mają być odznaczone), poza tym zaznacz Pokaż wszystko i kliknij Szukaj, a następnie Zapisz.

Wszystkie informacje wrzuć na forum (logi mogą być w formie linków do wklej.org).

[matidop]

Nie lubię logów na forum na pół strony bo to jak SPAM dlatego wrzucam na wklej.org.Komp był restartowany, ale zrobię znowu to samo i zastosuję się do tego co powiedziałeś.

EDIT@UP

Kliknąłem 2 razy LPM i mam coś takiego..."C:\Program Files\My applications" jak nie to to są tylko dane binarne, ale nie po tym jak kliknąłem LPM.

EDIT@UP

Dziwna sprawa...wł. ComboFix`a wg. instrukcji zaczął skanować i nic nie robiłem.Skończył pracę zaczął zamykać wszystko i stał tak z 20 min. w końcu się wkurzyłem i zrestartowałem.Po wł. nie było ani loga, ani tego okna co wcześniej! i zadaje sobie pytanie ocb?!Bo dla mnie to dziwne...

Tu jest log z GMER :

http://wklej.org/id/379824/

[Sevard]

Tak jak pisałem, logi mogą być jako linki do wklej.org i podobnych.

Wartość została zmodyfikowana przez rootkita, więc trzeba to odkręcić. Zmień wartość o której mowa na

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

I wklej te logi, o które prosiłem.

[matidop]

Loga z ComboFix`a po restarcie nie było, a z GMER`a dałem.

EDIT@UP

Zmieniłem już zawartość.

[Sevard]

Nigdy nie przerywaj pracy ComboFixa!

Uruchom OTL, w pole Własne opcje skanowania/skrypt wklej to co poniżej

:processes

killallprocesses

:Files

C:\Program Files\My applications\vista.sys

:commands

[emptytemp]

[emptyflash]

i kliknij przycisk Wykonaj skrypt. Wklej log z tej operacji. Następnie wygeneruj i daj nowe logi z OTL (tym razem obydwa).

Przeskanuj też system programem Malwarebytes' Anti-Malware i zamieść log ze skanowania.

[matidop]

Log ze skryptem z OTL : http://wklej.org/id/379856/

Log z Malwarebytes' Anti-Malware : http://wklej.org/id/379863/

[Sevard]

Jeszcze nowe logi z OTL, to co podałeś wydaje się być czyste.

[matidop]

Ostatni log z OTL : http://wklej.org/hash/6e3dae73235/

[Sevard]

Uruchom OTL, w pole Własne opcje skanowania/skrypt wklej to co poniżej

:processes

killallprocesses

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\My applications\vista.sys -- (vista)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Mati\AppData\Local\Temp\catchme.sys -- (catchme)

:commands

[emptytemp]

[emptyflash]

i kliknij przycisk Wykonaj skrypt. Wklej log z tej operacji. Następnie wygeneruj i daj nowe logi z OTL (extras.txt również!).

[matidop]

Log po wykonanym skrypcie w OTL : http://wklej.org/id/379966/

Nowy log z OTL : http://wklej.org/hash/2944a13e17a/

oraz Extras.txt

http://wklej.org/hash/f5f15463f57/

Mnie nie będzie od 11/12 cały dzień przy PC bo wychodzę więc odpiszę dopiero wieczorem.