Zaloguj się

09.03.2015, 08:59

Wczoraj zobaczyłem że mam pozostałość po unthreat. Problem jest taki że przeszukałem cały komputer i nic nie znalazłem , nawet wykonałem logi i nie ma zmianki o tej nazwie.

[Aby zobaczyć linki, zarejestruj się tutaj]

zbc · 09.03.2015, 11:45

Spróbuj przeszukać komputer programem Everything.
Jak nie da rady, to spróbuj jeszcze raz zainstalować unthreat, wyłączyć antywirusa, odistalować gruntownie przez revo. Tak myślę.

ichito · 09.03.2015, 12:05

To może być wciąż zarejestrowana usługa czy wpis w autostarcie, a sam plik wykonywalny (jeśli jest fizycznie) może mieć zupełnie inną nazwę...to może być też napęd wirtualny wprowadzany do systemu, jak to robiło...robi?...Comodo. Miałem z nim takie przejścia właśnie, podobnie jak z Pandą (tu chodziło o tzw. pliki CPL związane z Panelem Sterowania). Z powodu takich właśnie czasem dziwnych korelacji/pozostałości SpyShelter nie rejestruje się wsystemowym centrum zabezpieczeń.
Sprawdziłbym listę autostartu, listę usług, właściwości połączeń sieciowych, menadżer urządzeń...albo po całości - uruchamiamy Regseeker lub podobny szukacz w rejestrze, wpisujemy nazwę programu/producenta zostawiającego śmieciowe wpisy i czekamy, co pokaże - jeśli widzimy ewidentne wpisy, a programu już nie ma, to zaznaczamy je i wywalamy z systemu. Myślę, że dobrym narzędziem jest w takich przypadkach Device Remover - Device Manager...to narzędzie zaawansowane, ale warto się z nim zmierzyć.

[Aby zobaczyć linki, zarejestruj się tutaj]

09.03.2015, 13:41

Ja posiadam takie programy (jezeli chodzi o zachowanie w nim czystości) :

Auslogics - CCleaner - RegSeeker - Everything - Odkurzacz (stara wersja) Żaden z tych programów nie chce pomóc.

Wczoraj wpadłem na pomysł zeby zainstalować i odinstalować go w trybie awaryjnym - w polowie stało przez 15 min.
Gdy wczoraj wszedłem w interfejs to pisało że nie może odnaleść docelowego folderu na dysku Grin

Cytat:odistalować gruntownie przez revo.

już robie

09.03.2015, 14:06

fak ... - nie pomogło (w autostarcie cisza jak pokazuje auslogics- ,,pokaż zaawansowane elementy,,)

[Aby zobaczyć linki, zarejestruj się tutaj]

ichito · 09.03.2015, 14:43

Nie używam Auslogics...on ma moduł kontroli autostartu? Spróbuj małych prostych narzędzi...
- Regseeker już masz, ale czy podczas szukania zaznaczasz opcję szukania w gałęzi HKEY_USER? Poza tym możesz sprawdzić wpisy w module "Zainstalowane aplikacje - Błędne wpisy w Dodaj/Usuń...właściwie wszystko stamtąd można usunąć
- do kontroli autostartu użyj/używaj Autoruns

[Aby zobaczyć linki, zarejestruj się tutaj]

- do kontroli bardzo zaawansowanej Device Remover, ale jeśli nie czujesz tego narzędzia to spróbuj System Explorer - to narzędzie ma polską wersję i nie ma problemów z jego ogarnięciem

[Aby zobaczyć linki, zarejestruj się tutaj]

zbc · 09.03.2015, 15:25

W procesach nie ma nic, tak?

09.03.2015, 15:47

Hmm

Uruchom cmd z uprawnieniami administratora, wpisz to polecenie:
NET STOP WINMGMT /Y
następnie to polecenie:
REN %WINDIR%\SYSTEM32\WBEM\REPOSITORY REPO.BAK

Zamknij okna i zrestartuj komputer, dwa razy.

09.03.2015, 17:42

wystąpił błąd systemu 5.

Odmowa dostępu

pobrałem ten program :

[Aby zobaczyć linki, zarejestruj się tutaj]

bo ten pierwszy nie chciał się pobrać.

Czysto.Jednak dam logi i może Tachion pomoże.

Miszel03 · 09.03.2015, 17:59

Tibu 11

Wstaw Logi z FRST, - przeanalizuje je.

Miszel03 · 09.03.2015, 18:38

Tibu 11, na podstawie logów dostarczonych via system prywatnej wiadomość (PW) udzialem pomocy.

Zaczynamy:

1.Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST
Plik fixlist.txt umieść obok programu FRST

Kod:
CloseProcesses:

CreateRestorePoint:

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION

HKU\S-1-5-21-857215559-1720827124-3821883275-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION

CHR StartupUrls: Default -> "hxxp://onet.pl/", "hxxp://www.mystartsearch.com/?type=hp&ts=1425832299&from=smt&uid=SAMSUNGXHM320JI_S16LJD0S711822", "hxxp://www.mystartsearch.com/?type=hppp&ts=1425832344&from=smt&uid=SAMSUNGXHM320JI_S16LJD0S711822"

S2 ss_conn_service; No ImagePath

S2 UTSvcManager3; No ImagePath

S2 vToolbarUpdater18.3.0; No ImagePath

S3 catchme; \??\C:\Users\TIBU11~1\AppData\Local\Temp\catchme.sys [X]

U4 CmdAgent; No ImagePath

S3 NTGUARD; No ImagePath

S1 SBRE; No ImagePath

S3 tapSF0901; No ImagePath

S3 usbbus; No ImagePath

S3 UsbDiag; No ImagePath

S3 USBModem; No ImagePath

Task: {0B00F07A-FA06-4B08-AE69-3A7FD26D2904} - \YTAUpdate No Task File <==== ATTENTION

Task: {14B44AEA-E0DB-4A75-A91B-03575855DFF1} - \Installer_iwebar No Task File <==== ATTENTION

Task: {16528259-36FA-4E58-BAD5-75955CBA6519} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" <==== ATTENTION

Task: {4F8B1573-788F-45D3-B95F-6F91E58BE345} - \FIYPZ No Task File <==== ATTENTION

Task: {80C7595B-995A-4EE6-B75B-C4ACE1A3F167} - \SPBIW_UpdateTask_Time_323238313730343630342d3437415a556c2a3223346c41 No Task File <==== ATTENTION

Task: {86EF3081-4ECC-4DD2-9E51-F02FB8ECE2FF} - \avastBCLRestartS-1-5-21-857215559-1720827124-3821883275-1000 No Task File <==== ATTENTION

Task: {871EE728-C617-4D64-B544-F917D8963E04} - \Game_Booster_AutoUpdate No Task File <==== ATTENTION

Task: {AD052D55-CB78-4425-8CDE-467E6DA80C6B} - \COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} No Task File <==== ATTENTION

Task: {B16CBDDA-491B-4B84-B32B-B461B146112D} - \COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} No Task File <==== ATTENTION

Task: {B25FB6AB-B40A-4AE9-8FA2-5A76847E2BB5} - \COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} No Task File <==== ATTENTION

Task: {D4AA0617-CABB-41AD-BA46-3F875F36762C} - \COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} No Task File <==== ATTENTION

Task: {F9B363DF-DE26-4A74-AC80-7C03CC46FED2} - \COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} No Task File <==== ATTENTION

AlternateDataStreams: C:\ProgramData\TEMP:07BF512B

HKU\.DEFAULT\Software\Classes\.exe: exefile =><===== ATTENTION!

HKU\.DEFAULT\Software\Classes\exefile:<===== ATTENTION!

EmptyTemp:

DeleteQuarantine:

2. Ten Plik Sprawdź na

[Aby zobaczyć linki, zarejestruj się tutaj]

- dostarcz link do analizy.

Kod:
C:\Program Files\Everything\Everything.exe

3. Wstaw Raport ze Skryptu (Fixlog) i zrób nowe logi z FRST (FRST + Addition + Shortcup)

zbc · 09.03.2015, 18:43

Miszel Pro Wink

09.03.2015, 18:58

Fixlog

[Aby zobaczyć linki, zarejestruj się tutaj]

Nowe logi :

Addition1.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST1.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut1.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

09.03.2015, 19:08

Nowe logi

Miszel03 · 09.03.2015, 19:31

Tibu 11

Link prowadzący do Fixloga jest niedostepny, - zapodaj nowy działający link.

Kolejna Porcja Działań:

1.Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST
Plik fixlist.txt umieść obok programu FRST

Kod:
CloseProcesses:

CreateRestorePoint:

() C:\Program Files\Everything\Everything.exe

CHR StartupUrls: Default -> "hxxp://onet.pl/", "hxxp://www.mystartsearch.com/?type=hp&ts=1425832299&from=smt&uid=SAMSUNGXHM320JI_S16LJD0S711822", "hxxp://www.mystartsearch.com/?type=hppp&ts=1425832344&from=smt&uid=SAMSUNGXHM320JI_S16LJD0S711822"

R2 Everything; C:\Program Files\Everything\Everything.exe [1048576 2014-08-06] () [File not signed] <==== ATTENTION

2015-02-20 18:01 - 2015-03-09 13:59 - 00000000 ____D () C:\Users\Tibu 11\AppData\Roaming\Everything

2015-02-20 18:00 - 2015-02-20 18:01 - 00000000 ____D () C:\Program Files\Everything

EmptyTemp:

DeleteQuarantine:

2.Wstaw Raport ze Skryptu (Fixlog) i zrób nowe logi z FRST (FRST + Addition + Shortcup)

09.03.2015, 19:47

Fixlog.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Fixlog.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Nowe logi :
Addition.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Miszel03 · 09.03.2015, 20:03

Wywaliłem EveryThing ale teraz doszedłem do wniosku, że to był błąd.
A ozanczenie tego wpisu zankiem: ATTENTION było błędem (Fałszywy Alarm)

Start > Panel Sterowania > Programy i Funkcje > Odinstaluj Program > Odinstaluj: Everything (Wyskoczy Kominikat: Program Został już wcześniej Odinstalowany, Czy Chcesz usunąć go z listy zainstalowanych programów?) Naciśnij Tak.

W logach nie widzę już nic podejrzanego.

Jeszcze tylko diry poszczególnych katalogów:

1.Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST
Plik fixlist.txt umieść obok programu FRST

Kod:
CMD: dir /a "C:\Program Files"

CMD: dir /a "C:\Program Files (x86)"

CMD: dir /a C:\ProgramData

2. Wstaw Raport ze skryptu i zrób nowe logi z FRST (FRST + Addition + ShortCup)

09.03.2015, 20:16

Fixlog.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Nowe logi :

Addition.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Ten problem nadal jest ...

Miszel03 · 09.03.2015, 20:21

Cytat:Ten problem nadal jest ...

Sprawdzamy jeszcze poszczególne katalogi.

Przy pisaniu Skryptu wyleciło mi z głowy dodanie jeszcze jednej komendy:

1.Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST
Plik fixlist.txt umieść obok programu FRST

Kod:
CMD: dir /a C:\Users\Radek\AppData\Roaming

2. Wstaw Raport ze skryptu (Fixlog) już nie rób nowych logów.

09.03.2015, 20:28

Fixlog.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie